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'number is compared with a f fe^^^^':; , „„ow-up card, to be er,tered 
k pr6determir>ed relation to a base number 

' subsequently in the P°^Se "reter _ ^^^^^ ^^r a chip card 

Detailed Description: The method '"^-'J^^ "^^^^ ^ ^ control arrangement for 
^ting/reading unit for different ;v^J *^,<^f control arrangement controls a 
uploading or entering <teta ^"l^^^^^^^ , protocol for each specific ch,p card 
data exchange through ^^^^/f °'^^^~^ded for loading data, including a base 
type. At least one additional data nonvolatile memorv area 

number and a foUow-up number ^ postage meter. The base 

of the chip card into nonvolahle «^'^^tith a Lred first code to modify 



L the postage meter 



Use: None given. f coo„p nee of cards to be entered, partially by 
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DIa folg«ndan Angafattn sfnd den vom Anmeldw tttngAreCchlMi UrrtArlagan antnommsn 

Prufungsantrag gem, § 44 PatG ist gestellt 

@ Anordnung und Verfahren zum Datenaustausch zwischen einer Frankiermaschine und Chipkarten 
@ Die Erfindung betrifft eine Anordnung und ein Verfah- 
ren zum Datenaustausch zwischen eIner Frankiermaschi- 
ne und Chipkarten. Die Frankiermaschine (st mit einer 
Chipkarten-Schretb/Leseeinhett und zugeh origan Steue- 
rung ausgestattet, welche sntsprechand einer Folgenum- 
mer (FN) einerseitsfur gultige Chipkarten (50, 49) sine be- 
stimmte Raihenfolge fur deren Efnstecken in die Chipkar- 
ten-Schreib/Leseeinheit vertangt um Oaten nachzuladen 
und welche andererseits dem autorisierten Benutzer go- 
stattet, fur das Einstecken waiterer geeignet initialtsierter 
Chipkarten (51, 52, 53) niedrigen Ranges eine bestimmte 
Reihenfolge festzulegen, um die Funktions- und Oaten- 
eingabe in die Frankiermaschine zu verelnfachen. Letzte- 
re Chipkarten stellen einen eingeschrankten Funktions- 
umfang ein. Zu deren Initfalisierung wird Innerhalb der 
■ Frankiermaschine eina Tebetie mit einer speziellen hierar- 
, chischen (BaumOStruktur erstellt, indem die vorgespei- 
I cherte Struktur antsprechend vom Benutzer modifiziert 
wird. Die weiteren Chipkarten (51, 52, 53) gestatten mit ih- 
rer Chipkartennummer den Zugriff auf die Tabelle, um 
Funktionenanwendungen mit Limit-Datan aufzurufen, die 
in nichtfluchtigen Spelcherbereichen (A, B, C) der Chip- 
kartennummer zugeordnet vorltegen. 
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Beschretbung 

Die Erfindung betrifli cine Anordnung und ein Verfahien zum Datenausiausch zwiscben einer Frankiemiaschine und 
Chipkarten gem&6 der im Oberbegriff der Ansprilche 1 und 3 angegebcncn Art. Die Frankiermaschine ist mit ciner Chip- 
s karten-Schreib/Leseeinheit und zugehdrigen Steuerung ausgestattet, welche einerseits fUr gUItige Chipkarten eine be- 
stimmten Reihenfolge fUr dereo Einstecken in die Chipkarten-Schreib/Leseeinheit verlangt, um Daten nachzuladen und 
welche andererseits dem autorisierten Benutzer gestattet, fiir das Einstecken weiteier Oiipkarten niedrigen Ranges cine 
bestimmten Reiheofoige festzulegen, um die Bmktions- und Dateneingabe in die Frankiermaschine zu vereinfachen. 
Modemc Frankiermaschihen, wie bcispiclsweise die aus US 4,746.234 bekannte The^not^ansfe^Frankie^maschine, 

10 setzen voUelektronische digitalc Druckvbnichtungen ein. Damit isl es piinzipiell mdglich, beliebige Ibxte und Sonder- 
zeichen im Frankierstempetdtuckberticb und ein beliebiges oder ein einer Kostenstelle zugeordnetes Werbeklischee zu 
dnicken. Beispielswdse die Frankiermaschine TIOOO der Anmelderin hat einen Mikropiozessoi; welcher von einem ge- 
sicherten Geh^use umgeben ist, welches eine Offnung fUr die ZufUhrung eines Briefes aufweisL Bei einer Briefzufiih- 
rung tibermittelt ein mechanischer Briefsensor (Mikroschalter) ein Druckanforderungssignal an den Mikroprozessor. Der 

1 s Frankierabdruck beinhaltet eine zuvor eingegebene und gespeichertc postalische Information zur Befdrderung des Brie- 
fes. Hs ist auch mdglich einen intemen Kostenstellenausdruck mit derselben Druckvoirichtung zu erzeugen. Jedeiii Be- 
nutzer steht der gesamte Funktionsumfang der TIOOO zur VerfQgung. Die Verwaltung von abrechnungsspezifischen Da- 
ten Uber Kostenstellen ist fUr Frankiermaschinen schon des L^geren bekannt Zweck der Kostenstellen ist es, IVanspa- 
renz in die Abrechnung von Geraten zu bringen, die von unterschiedlichen Benulzcm gebraucht werden. Unler dem Be- 

20 griff Kostenstelle ist ein filr die abteilungsweise Abrechnung bzw. Buchung von Benutzungshandlungen voi:gesehener 
nichtflUchtiger Speicherbereich in der Frankiermaschine zu verstehen. Jeder Kostenstelle ist eine Nununer und/oder Be- 
zeichnung zugeordnet, Uber welche der votgenannte Speicherbereich angewShlt wird. 

Hs ist weiterhin bekannt, auch kostenstellenspezifische Daten auf Chipkarten zu hinterlegen, um so die bcnutzerspczi- 
fischen Informationen mobil vorzuhalten und einen bewuBten MiBbrauch anderer Kostenstellen zu vermeiden. In US 

25 5 ,490,077 wurde bereits filr die obcn genannte Thermotransfer-Frankiermaschine eine DatencingabemSglichkeit mittels 
Chipkarten vorgeschlagen. Eine der Chipkarten ladt neue Daten in die Frankiermaschine und ein Satz an weitcren Chip- 
kanen gestattet durch das Stecken einer Chipkarte eine Einstellung, insbesondere einer Kostenstelle, entsprechend ein- 
gcspeicherter Daten vorzunehmen. Das Datenladen und die Einstellung der Frankiermaschine soUen damit bequemer 
und schneller als per Tastatureingabe moglich sein. Die T^tatur der Frankiermaschine bleibl klein und ubereichllich, 

:u) weil keine zus^tzlichen listen erforderlich sind, um zusfltzliche Funkiionen zu laden oder einzustellen. Auf der RUck- 
seite der Frankiermaschine befindet sich ein Einsteckschlitz einer Chipkarten-Schreib/Leseeinheit, in welchen die jewei- 
lige Chipkarte vom Kunden innedialb eines 2^itfenslers eingesteckt werden soil Wegen des mangelnden unmitlelbaren 
Sichtkontaktes gelingt es einem ungeiibten Benutzer nicht immcr sofort, hintercinander die erforderlichcn Chipkarten 
einzustecken, was dann zu unerwUnschten Verzdgerungen fUhrt. Die Frankiermaschine arbeitet mit Chipkarten, welche 

35 selbst mit einem Mikroprozessor ausgestattet sind und somit in der Lage sind zu prUfen, ob die Frankiermaschine ein giil- 
tiges Datenwort zur Chipkarte Ubermittelt, bevor eine Antwort an die Frankiermaschine gesendet wird Erfblgt abcr 
keine Antwort bzw. Benutzeridentifikation, wird dies als Fehler in der Frankiermaschine regisUiert und angezeigt. bevor 
eine Aufforderung in der Anzeige angezeigt wird, die Chipkarte zu entfemen. 
Ein cinziger Slot ist fUr eine Vielzahl an Chipkarten votgesehcn, welche scquentiell eingesteckt werden. Eine Ikbelle 

40 von PaBw6rtem ist in der Frankiermaschine gespeichert, um automatisch PaBw6rter in die Chipkarte einzugeben. Die 
Chipkarte priift, ob die Frankiermaschine zum Benutzerkreis gehort, indem sie die PaBwcJrter mit einem intern gespei- 
chcrtcn Paflwort vergleicht Mit temporar gUldgen PaBwortern, die dem Benutzer auf Wunsch mitgctcilt werden, wenn 
die Bezahlung gesichert ist, k6nnen Zusatz-, Sonderfunktionen und Informalionen aus der Chipkarte genutzt werden. 
Nach Abarbeitung der Kommandosequenz gemSfi Obcrtragungsprotokoll, die weitere Kommandos zum Umschalten in 

AS einen Sicherheitsmodus der Chipkarte und zur manuellen PaBworteingabe in die Chipkarte utnfaBt, sind die geschutzten 
Chipkarlendaten abrufbar. Nachteilig ist hierbci, daB der Benutzer beim Einstecken mehrerer Chipkarten auf dierichtige 
Reihenfolge achten muB. Die Tarif-Nachlade-Chipkarte muB zuerst gcsteckt werden. Auch bei den Folgekarten obliegt 
die Auswahl der zu steckenden Chipkarte allein dem Benutzer. Bekanndich wird zur Sicherung der Authentizital in un- 
terschiedlichen Sicherheitsleveln eine PIN- oder PaBwort-Eingabe verlangL Nachteilig ist jedoch, daB eine derartigc 

50 Vielzahl an PaSwSrtem, die untcr UmstSnden nur zeitlich bcfristet gOltig sind, manuelle PIN- oder PaBwort-Eingabe fur 
cine Vielzahl von Karten zu unerwtlnschten Verwechslungen fOhren kttnnte. 

In der DE 196 05 015 C 1 ist bereits eine AusfUhrung filr eine Druckvorrichtung (JetMail®) vorgeschlagen worden, die 
hci einem nichtwaagerechten ann^emd vertikalen Brieftransport einen Frankierdruck mittels einem hinter einer FUh- 
rungsplatte in einer Ausnehmung station^ angeordneten Tlnlenstrahldruckkopf durchfuhrt Ein Drucksensor ist zur 

55 Brief anfangserkennung kurz vor der Ausnehmung fiir den Unienstrahldruckkopf angeordnet imd wirkl mit einem Inkre- 
mentalgeber zusammen. Durch die auf dem TVansportband angeordneten Andruckelemente i.st der Brieftransport 
schlupfl'rei und das w&brend des IVansportes abgeleitete Inkrementalgebersignal beeinfluBtdie Druckbildqualit^t positiv. 
Bei einer solchen, hohert; AbmaBe aufweisenden Frankiermaschine kommt es in besonderem MaBe darauf an, daB eine 
Chipkarten- Schrcib/Lcsccinhcit so angeordnet und betricbcn wird, daB mit scquentiell cinstcckbarcn Chipkarten pro- 

60 blemlos gearbeitet werden kann. Weil der Speicherplatz auf einer Chipkarte begrenzt ist, muB ggf. eine Vielzahl an Chip- 
kurien vom Benutzer bereitgehalten werden und die Frankiermaschine muB dazu eingerichtet sein, alle geladenen Daten 
zu spcichern. 

Als altemativer Weg zur Lttsung des vorgenannten Problems, wonach der auf einer C'hipkarte verfUgbare Speicher- 
platz nur begrenzt vorhandenen ist, wird in der US 4 802 218 vorgeschlagen, mehrere Chipkarten gleichzeitig zu ver- 
65 wcnden, die in eine Vielzahl an Schreib-Ixseeinheiten eingesteckt sind. Neben einer USER-Chipkarte filr die Gulhaben- 
nachladung und Abrechnung. wobei der zu druckende Portogebtlhrenwert vom Guthaben subtrahiert wird, sind auch eine 
Masterkarte und eine weitere Rate-Chipkarte mit einer gespeicherten PortogebUhrentabellc gleichzeitig eingesteckt 
Durch den Zugriff auf cine Portogcbiihrcntabelle. kann entsprechend dem cingegcbcncn Gewichl und \fcrsandziel ein 
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PortogebUhrenwert ermittelt werden, ohne cine ganze 'ftbelle in die Maschine zu laden. Da aber zu jedcr Chipkarte je 
cine Schrcib*Leseeioheit erfoxxleriich ist, wird das Gerfit zu groB und teuer. Aufierdem ist eln separates >Mederauflade- 
Tcnninal erfordcrlicb, um das Guthaben in der USER-Chipkartc wieder aufzufiillen, wobci zu dicser Wcderaufladc- 
Funktion einc Masterkartc berechtigt Eine Super- Visor-Karte hat ZugrifF auf alle Masterkarten. Verscbiedene Sicher- 
heiislevel werden durch zugeh6rigc SchlUsselcodes erschlossen, Ein solches System mit mehreren Slots fUr (^ipkarten 5 
ist insgesamt sehr aufwendig. 

Aus der D£ 195 16 429 ist ein Verfahren fiir eine 2^gangsautorisieiung zu einer gesicherten Einrichtung mittels kar- 
tenfonniger Masteielemente bekannt, welche kartenf&rmige Autorisierungselemente als gUltig erkeonbar machen. Der- 
artig gQltig gemachte kartenf6nnige Autorisierungselemente erlauben sprier den Zugang zu der gesicherten Einrichtung, 
ohne daS der Benutzer im Besitz des Masterelementes ist. Auch konnen weitere Autorisierungselemente als gUltig besta- lO 
tigt werden. Der Best&tigungsvoxgang schliefit einen Informationsaustausch zwischen einem Masteieletnent h5beren 
Ranges und einem Autorisieningselement bzw. Masterelement niedrigeren Ranges und einem elektronischem SchloG, 
der gesicherten Einrichtung, ein. SpezieUe Kundenwunsche k6nnen dabei jedoch nicht beritcksichtigt werden. denn alle 
so erzeugten Karten siod technisch und funktionell gleich und dienen lediglich der Verteilung von Zugangsberechtigun- 
gcn einer hierarchisch gegliederten Verwaltung von gesicherten Einrichlungen. Die Verwendung einer Chipkarte zur Zu- is 
gangsberechtigung auch in unterschiedlichen Hicrarchieebenen ist zwar bekannt, jedoch oblicgt eine weitere Datenein- 
gabe per Tastatur dem Benutzer, um eine Anwendung aufzurufen bzw. einzustellen. 

Die Chipkanen werden Ublicherweise vom Chipkartenhersteller und Frankiermaschinenhersteller initialisieru Es ist 
jedoch fiir den Frankiennaschinenhersteller aufwendig, dabei die speziellen KundenwQnsche zu berUcksichtigen. Fiir 
den Henurzer der Frankiermaschine bcsteht die Notwendigkeit seine KundenwUnsche dem Hersteller mitzuteilen, wel- 20 
che einc spezielle Eingabefunktion per Chipkarte betrefFen. Bis der Benutzer eine entsprechend initialisierte Chipkarte 
zugesandt bekommt. kann die Frankiermaschine weiterhin nur per Frankiennaschinentastatur fiir die spezieUe Eingabe- 
funktion eingcstellt werden. 

Der Erfindung liegt die Aufgabe zugrunde. eine Anordnung und ein Verfahren zum Datenaustausch zwischen einer 
Frankiermaschine und Chipkartcn zu schaffen, wobei die Reihenfolge sequentiell einzusteckender Chipkarten zum einen 25 
TcW durch den Hersteller definiert und zum anderen Ttil durch den Benutzer dcfiniert wird. Beim Zugriff auf geschutztc 
Speicherbereiche der Qiipkarte soil eine angepaBte Sicherheil bei grdBtmbglicher Anwenderfreundlichkeit unter gerin- 
gcn Kosten errcicht werden, Der Schutz der Ubertragcnen Daten vor einer Manipulation soil gewahrleistet werden. 

Die Aufgabe wird mit den Merkmalcn des Anspruchs 1 durch ein Verfahren bzw. mil den Merkmalen des Anspruchs 3 
durch eine Anordnung zum Datenaustausch geldst. 30 

Es wird eine erste Prozessor-Chipkarte eingesetzt, welche zugleich eine allgemeine Zugangsberechtigung zur Fran- 
kiermaschine darstelli und eine Nachlademtiglichkeil in die Frankiennaschine bielel. Die erste Prozessor-Chipkarte eni- 
halt eine Folgenummer gesichert, gespeichert, welche eine Be^.iehung zu einer Folgenummer einer weiteren Chipkarte 
hat. 

Die weiteren Chipkarten konnen entweder eine in die Frankiermaschine gespeicherte Information eigSnzen bzw. in ge- 35 
cignetcr Weisc andem und/oder bictcn einen eingcschranktcn Zugang zu den Funktionen der Frankiermaschine. 

Die Frankiermaschine ist mit einer Chipkarten-Schreib/Leseeinheit und zugeh6rigen Steuerung ausgestattet, welche 
cinerseits fUr gUltige Chipkartcn eine bestimmten Reihenfolge fiir deren Einstecken in die Chipkarten-Schreib/Leseein- 
heit veriangt, um Daten nachzuladen und welche andererseits dem autorisierten Benutzer gestaitei, fiir das Einstecken 
weiierer geeignet initialisierter Chipkarten niedrigen Ranges eine besdmmten Reihenfolge festzulegen, um die Funkti- 40 
ons- und Dateneingabe in die Frankiennaschine zu vereinfachen. Letztere Chipkarten stellen die Frankiermaschine auf 
cincn Bctrieb mit cingeschrankten Funktionsumfang ein. Zu deren Inidalisicrung wird unter \fcrwcndung der Tastatur 
und Anzeige und mit Hilfe eines Mikroprozessors und der zugehorigen nichtfliichtigen Speicher in Speicherbereichen in- 
nerhalb der Frankiermaschine eine lyjcUe mil einer speziellen hierarchischen Struktur erstellbar, indem die vorgespei- 
cherte Struktur entsprechend vom Benutzer modifiziert wird. Dabei enlsteht eine Baumstruktur in der Hierarchie fiir die 45 
von der erfindungsgemaBen ersten C*hipkarte abgeleiteten zweiten Chipkarten und weiteren Folgekarten, insbesondere 
speziellen Funktionenanwendungskarten, welche mit ihrer Chipkarten-intem gespeicherten Chipkartennunmier den Zu- 
griff auf die 'Kibelle gestalten. In vorgenannten Speicherberdchen ist die Zuordnung einer Chipkartennuimner zu Funk- 
tioncnanwcndungen mit Limit-Daten belicbig w^lbar vom autorisierten Benutzer speicherbat 

Die Anordnung zum Datenaustausch zwischen der Frankiermaschine und Chipkarten ermOglicht es, auf kostengUn- 50 
stige und kundenfreundliche Art unterschiedlichste Daten in die Frankiermaschine zu laden bzw. auszuwUhlen. Besteht 
also das Erfordcmis, in der Frankiermaschine gespeicherte Daten in Abhangigkcit von nicht vorhcrschbarcn auBcrcn Er- 
eignissen zu andem, d. h. ein Datenupdate durchzufilhren, dann werden von der Steuereinrichtung der Frankiermaschine 
die Daien aus ungesicherten und dann aus gesicherten Speicherbereichen der Chipkarte bei GUltigkeit geladen und mit 
bcreils zuvor geladenen Daten anderer Chipkarten in geeigneter Weise verkniipft. 55 

Die Chipkarten-Schreib/Leseeinheit arbeitet nach einem fiir den jewel Hgen Kartentyp vorgesehenen un terse hiedlichen 
KommunikalionsprotokoU und ISdt Daten aus eingesteckten gUltigen Chipkarten unter Steuerung durch die Steuerein- 
richtung der Frankiermaschine. Die Steuereinrichtung ist mit einem Prograimnspdcher und einem Mikroprozessor aus- 
gcriistct, um entsprechend einem Anwcndungsprogramm die cntsprcchcndcn nichtfliichtigen Speicherbereiche, die von 
der Chipkarten-Schreib/Leseeinheit aktuell empfangenen Daten zu speichem und mit den Speicherbereichen in geeigne- 60 
ter Weise zu verbinden, welche bereits vorher geladene Daten aus vorher eingesteckten gUltigen Chipkarten enlhalten. 

Die Chipkarten-Leseeinheit der Frankiermaschine bcstchl aus einer Kontaktierungscinheit zur niechanischcn Auf- 
nalmie und clektrischen Vcrbindung der Chipkarte sowie aus einer dazugehttrigen Mikroprozessorkarte, die als Bindc- 
glied zwischen der Frankiermaschine und der Chipkarte fungiert. um die Kommunikation bzw. den Datenu-ansfcr zu er- 
moglichen. Das Interface der Chipkarten-Leseeinheit ist cine serielle Schnittstelle nach dem RS232 Standard, das Soft- 65 
ware-Protokoll kann herstellerspezifisch variieren. Die (,'hipkarten-Leseeinheil wird in das Base-Cichause der Frankier- 
maschine integriert. 

Es wird soiuit cine Nach lade moglichkcit fiir mindcstcns die Daten cincs Funktionsmerkmals und/oder der Portotabcl- 
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Icndaien geschaffen, indem der Dialog mit der Chipkarte iiber eine einzige Chipkarten-Schretb/Lese-Einheit gefUhrt 
wird, wobei ein Laden von Daten bezUglich neuer Merkmale und/oder bezUglich einer PoitogebUhientabelle aus einer er- 
sien Chipkarte erfolgt, gekoppelt mit einem ersteo Code, der eine Zuordnung von in der Frankiermaschine gespeicherten 
Merkmalen/Daten zu eincm zweiten Code Sndert, der cingegeben wird. 
s AuBerdem ist eine ^grififem^glichkeit auf mindestens eine definierte Kostenstelle oder auf Daten eines Funktions- 
merkmals mittels dner Chipkarte automatisch eingebbar. Dabei wird eine automatische Zugangsberechtigung minde- 
stens zur Oesamt-Kostenstelle gepriift. Wenn nicht anders vereinbart, werden alle ausgegebenen Chipkarten nur auf 
diese Kostenstelle zugreifen, wobei anschlieBend eine manuelle Wahlmdglichkeit einer speziellen abteilungsbezogenen 
Kostenstelle flir den Kostenstellenspeicher der Frankiermaschine liber Tltstatur besteht Es kann jedoch auch vereinbart 

10 werden, daB eine zweite oder weitere Folgechipkarten bcliebigen lyps auf definierte Kostenstellen zugreifen. Das wird 
bei eingesteckter Masterchipkartedadurch erreicht, indem in Speicherbereichen innerhalb der Frankiermaschine eine 7^- 
belle mit einer speziellen hierarchischen Stmktur erstellt wird. 

DieErfindung basiert auf dem Gedanken, in unlerschiedlichen Sicherhcilsleveln unterschiedliche Sicherungsntafinah- 
men zuzulassen, urn eine angepafite Sicherheit zu erreichen. DarUber hinaus ist die Mascliine ausgestattet, daB vom An- 

15 wender, insbesondeie vom Frankiermascfainenbenutzer, eine nach hierarchischem Prinzip individuell angepaBte Sicher- 
heit in die Frankiermaschine hinein prograimniert werden kann. 

ErfindungsgemaB wird rait Hilfe einer fortlaufenden Nummer in jeder Chipkarte, die zusammen mit der Frankierma- 
schine in Verwendung konunt, das gesamte Kostenstellen-Handling innerhalb der Frankiermaschine gesteuert Innerhalb 
des Programmspeichers der Fraokienoaschine ist eine ersle Anwendung gespeichert, die beslimmlen Chipkartennuin- 

20 mem bestimmte Privilegicn (Hierarchien), SicherheitsmaBnahmen und Kostenstellennummem zuonrtnet. Eine zusam- 
men mit der Frankiermaschine ausgelieferte erste Chipkarte wird ais Master-Karte bezeichnet. Bei letzterer ist die Be- 
fugnis nicht eingeschrankt Die Master-Karte enlhall aber neben der fortlaufenden Nummer auch weitere Daten in ihren 
gcsichcrtcn nichtflQchtigcn Speicherbereichen. Das Verfahten zum Datenaustausch sieht erfindungsgemaB vor. vorge- 
nannte weitere Daten in separaten Datens3tzen zu Ubermittcln. Diese vorgenannten weiteren Daten umfassen eine Fol- 

25 genununer fUr die WeiterfUhrung des Nachladens mittels einer weiteren Nachladechipkarte und insbesondere die An- 
wcndungsbefiignis von Folgekarten limitierende Grcnzdatcn odex Limit-Dalen, wclchc die Limiiierung einer Operation 
bewirken, wenn diese nicht von der Masterkarte eingestellt und ausgelost wird. Letztere Umit-Daten bzw. Grcnzdaten 
liefem eine applikationsangepaBte Sicherheit fUr eine zweite Chipkarte oder fUr die weiteren Folgekarten. Die hierar- 
chisch am hiichsten stehende erste Chipkarte hinterlegl ein Limit-Konto in einem geschiitzten Speicherbereich eines 

:«) nichtflQchtigcn Speichers der Frankiermaschine fUr die rangnicdrigcre zweite Chipkarte. Dieses Prinzip wird in der Hier- 
archic abwSrts fUr Folgekarten forlgesetzt. So hinlerlegt die hierarchisch hdherstehende zweite Chipkarte ein Limit- 
Konio in einem geschiitzten Speicherbereich eines nichtflUchtigen Speichers der Frankiermaschine fiir eine rangnicdri- 
gcre Folgekarte. Entsprechend der modifizicrtcn Struktur wird die voigenannte Tabelle mindestens tcilwcisc angczcigt, 
bevor eine Abspeicherung erfolgt. Ein von der Master-Karte vorgegebenes Limit-Konto kann nur in einer Richlung ver- 

35 andert, also nur stSrker limitiert werdeo. Das von einer Chipkarte mit hdherem Rang voigegeben Limit kann damit nicht 
einer Chipkarte mit niederem Rang aufgehoben werden. 

Dem Benutzer wird ein Satz an Chipkarten zur Verfugung gestellt, die den Zugriff auf vorwahlbare Frankiermaschi- 
nenfunktionen fOrderen kombinierte Anwendung steuem. AuBerdem wird eine gut zugUngliche Chipkarten-Schreib/Le- 
sccinheit, die hinter der FUhrungsplatlc angeordnci ist und cine zugchorigc Stcuerung in der Frankiermaschine gcschaf- 

40 fen die Problerae beim Einstecken bzw. Irrttimer in der Auswaht einer Chipkarte vermeidet. Das C^hipkarten/Frankierma- 
schinen-Sysiem ist beliebig erweiterbar bzw. vom Benutzer modifizierbar. Eine andere eingesteckte Chipkartenart kann 
von der Frankiermaschine erkannt und entsprechend ausgewertct werden. Die Frankiermaschine kann damit auch mit ei- 
ner preiswerteren Chipkartenart betrieben werden. Die Vorteile der eindeutigen, einfachen und falschungssicheren Ko- 
stenstellenauswahl Ober eine Folgechipkarte kann unter Vermeidung der Benutzung von nennenswertem Speicherplatz 

45 auf derselben angewendel werden. Neben der Kostenslellenfreigabe kann eine Freigabe vorbestimmler weiterer Funktio- 
nen lediglich durch Eingabc einer Chipkartennummer, d. h. durch Einstecken einer diesbezQglich initialisierten Folge- 
chipkarte in eine (^hipkartcn-Schreib/Leseeinheit, eneicht werden. Zu dieser Chipkartennummer sind in der Tkbelle zu- 
geordnete Funktionen und/oder Daten gespeichert Die Tdbelle ist in entsprechenden Speicherbereichen des nichtflUch- 
tigcn Speichers der Frankiermaschine gespcichcrt Die votgenanntc TabcUe hat eine spczielle hierarchische und modifi- 

50 zierbare Suuktur, in welcher Limit-Daten zugeordnet gespeichert sind. Die vorgenannte modifizierbare Struktur ist in ein 
Verzeichnis von gUltigen Kartennummem, Verkntlpftingsbedingungen und zugehorigen Parametersatzen aufgeteilL Jede 
zweite und folgende Chipkarte muB nur cine Chipkarlcnnununcr cnthaltcn. Die Frankiermaschine rcservicrt einen Spei- 
cherplatz ftir einen Parameterwcrt fUr mindestens eine Grcnzwertart Das erlaubt die kostcngilnstige Bereitstellung eines 
Satzes von hentellerseitig Lediglich teilweise vorinitialisierten Chipkarten. Van einem autorisierten Benutzer kann in ei- 

55 nem driilen Teil eines Kennungssuinges nun in den Speicherbereichen der Chipkarte mittels der Chipkarten-Schreib/Le- 
seeinheit der Frankiermaschine die gewUnschte Chipkartennummer erganzend gespeichert bzw. modifizien werden, Ein 
mit der Chipkarten-Schreib/Leseeinheit verbundenes Steueigerat der Frankiermaschine hat einen nichtflUchtigen Spei- 
chcr init Speicherbereichen fiir eine Zuordnung von gelisteten Anwendungsfunktionen zu Liniil-Daten und zu einer 
C'hipkarte. Der Mikroprozcssor des Steuergerates der Frankiermaschine ist programmicrt, die in der jcwciligen Chip- 

60 karte gespeicherte Chipkartennummer zu laden, eine Zuordnung der gelisteten Anwendungsfunktionen zur jeweiligen 
Chipkartennummer in einem der Speicherbereiche des nichtflUchtigen Speichers der Frankiermaschine aufeurufen und 
die cnt-sprcchcnden im Programmspeicher gespeicherten Anwendungsprogramme unter Einhaltung des Grcnzwcrtcs 
durchzufuhren, wobei vom autorisierten Benutzer die Zuordnung beliebig wShlbar und im Rahmen der (Jrenzwerte in 
den vorgenannten Speicherbereichen spcicherbar ist. 

65 Die aufgeteilte modifizierbare Struktur ist iiber sogenannte Pointer wieder herstellbar, um eine entsprechende Daten- 
eingabe in den Hauptarbeitsspeicher vorzunehmen, wobei der Mikroprozcssor der Frankiermaschine eine entsprechende 
Funklion bzw. eine gespeicherte Reihenfolge von Funktionen entsprechend dem Anwendungsprogramm ausfUhrl, Eine 
der Funktionen kann ausgefiihn werden, um die Suukiur in einer T^bcllc mindestens tcilwcisc anzuzcigcn oder um dicsc 
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nicxlifizieren zu kfinnen, 

Vorteilhafte Weiterbildungen der Erfindung sind in den UnteransprUchen gekennzeichnet bzw. werden nachstehend 
zusaminen mit der Bcschrcibung der bevorzugten AusfUhrung der Er^dung anhand der Figuren n^er daigesiellt. £s 
zcigcn: 

Fig. 1 a, Anordnung der Speicherbeieiche und weiteren Bestandteile der Schaltung im ("hip einer Prozessor-Chipkarte, 5 
Fig, lb, Baumstruktur der Hierarchie ftir die von der Master-Chipkarte abgeleiteten Funktionenanwendungskarcen, 
Fig. 2, Blockscbaltbild zur Einstellung der Funktion der Frankicrmaschinc und zur Anstcuerung der Druckcinrich- 
lung. 

Fig. 3, Perspektivische Ansicht der Frankiermaschine von hinten. 

Fig. 4a, Ablaufplan fUr eine Steuerung durch den Mikroprozessor bei der Dateneingabe inittels einer Chipkarte, lO 
Fig. 4b, Datenaustausch zwischen Chipkarte und Chipkarten-Schieib/ Leseeinheit, 
Fig. 5a, Aufteilung der StrukUir auf Speicheibereiche, 

Fig. 5b, Ablaufplan fiir eine Steuerung duich den Mikroprozessor beim Aufruf mindestens einer der Funktionen ent- 
sprechend der gespeicherten Struktur durch Eingabe einer Chipkaitennummec 

Die Chipkarten unterteilen sich in Typcn, wie leine Speicherkarten, intelligenie Speicherkarten, Prozessor-Chipkarte is 
und multifunktionale Chipkarte, Nur bei letzterer sind die Anwendungsmoglichkcitcn maximal, was jedoch mit cinem 
hoherem Chippreis erkauft werden muB. 

In der Fig. 1 a ist eine Anordnung der Speicherbereiche und weiteren Bestandteile der Schaltung im Chip einer Prozes- 
sor-Chipkarte dargestelll. Eine Prozessor-Chipkarte hat eine I/O-Inlerface-Schaltung, eine Sicherheils- und Schulzlogik 
(Security- und Fuselogik), und einen nichtflQchtigen Schreib/I^ese-Speicher EEPROM auf dem gemeinsamen Chip so- 20 
wie auBerdem einen Nurlesespeicher ROM mit einem Programm und einen Rrozessor CPU zur Abarbeitung des Pro- 
grdimns und einen Hauptarbeitsspeicher RAM integriert. Die Prozessor-Chipkarte ennSglicht eine Authenlikation und 
crwcitert damit die Anwenduagsmdglichkcitcn. 

tJnter dem Kontaktfeld des Chips befinden sich bekannOich die Speicher, deren Speicherbereiche in ungeschUtzte und 
geschUizte Bereichc aufgetcill ist. In beiden Bereichen werden vom Frankiermaschinen- und Chipkartenhersteller er- 25 
zcugtc sonstigc Datcn gespeichcrt. 

Zusammen mit dem nichtflUchtigen Schreib/Lese-Speicher EEPROM, mit dem ungeschUtzten CC\ und geschiitzten 
Speicherbereich CC2 ist auf dem gemeinsamen Chip der intelligenten Speicherkarte auch ein allgemeiner Speicherbe- 
reich im Nurlesespeicher ROM vorgesehen. 

Mil dem Mikroprozessor wird eine PIN-Prtifung durchfiihrr, bevor auf sicherheitsrelevanie Daten im geschQtzten :\o 
Speicherbereich CCZ zugegrififen wird. Eine Chipkartennummer im Kennungssuing ist teilweise im ROM und/oder im 
geschiitzten Speicherbereich CC2 sowie im ungeschutzten Speicherbereich CCl abgespeichert. Der Ttil der Chipkarten- 
nummer im ungeschiitzien Speicherbereich CCl kann mit Hilfc einer hohcrcn Autoritat verandert werden. Im geschiitz- 
ten Speicherbereich CC2 einer crsten Qiipkarte sind zusammen mit dem einem Tfeil der Chipkartennummer sicherheits- 
relevanie Daten gespeichert, welche die Nachfolgekarte definieren, welche zeitliche, stUckzahl- oder wertgrOBenmafiige 35 
Grcnzjdatcn darstellen oder Funktionen beinhaltcn, welche cine Limiticrung einer Operation bewirkcn. 

Die Autorisierung von Folgekarten mittels einer ersten Chipkarte (Masterkarte) kann somit beispielsweise zeitlich li- 
iTiitiert gUltig sein, wenn entsprechende gespeicherte sicherbeitsrelevante Daten in eine Frankiermaschine geladen und 
dorl als Bedingung fur eine autorisierte Folgekarte nichlfliichlig gespeichert werden. 

Die Daten im geschOtzten Bereich sind auf verschiedene Weisc erzeugt worden. Ein erster Teil des Kennungsstrings 40 
ist nur fiir den Chipkartenhersteller im Nurlesespeicher ROM beschreibban Ein zweiter Tfeil des Kennungsstrings ist nur 
fur den Frankiermaschinenhersteller im geschiitzten nichtflUchtigen EEPROM-Bereich beschreibbar. Bei weiteren Chip- 
karten bzw. Folgechipkarten ist im ungeschutztem Datenbereich ein dritter '[til des Kennungsstrings votgesehen, der 
vom Kunden modifizien werden kann. Bei Masterkarten wird dicser Tfeil vom Frankiermaschinenhersteller beschrieben. 
Bei weiteren Karten und Folgekarten isl fur den Kunden der drilte Teil des Kennungsstrings auf folgende Wcise veriin- 45 
derbar. Nach einer vorbesUnmiten, vorzugsweise menilgestcuertcn Eingabe aber die Frankiermaschinentastatur eriangt 
der Benutzer ZugrifF auf diesen Bereich. Der vorgenannte Zugriff ist nur dem autorisierten Benutzer mSglich. Letzterer 
verfugt zur vorausgehenden Autorisalion beispielsweise iiber eine Prozessor-Chipkarte, welche in einer Hierarchic auf 
einer hohcrcn Stufe steht, als die zu initialisierende Chipkarte, 

Durch Initialisierung einer Zuordnung im dritten Teil des Kennungsstrings entsteht ftir eine Gruppe von ("hipkarten 50 
cine hierarchische Struktur. die - wie in der Fig. lb gezeigt wird - ausgehend von einer ersten Chipkarte vom Frankier- 
niaschincnbenulzer beliebig erwciter- und Sndcrbar ist. Die erstc Cliipkarte 50 steht auf der obcrstcn Hicrarchicslufc und 
wird nachfolgcnd mit Master-Karte bezeichnet. Die in der Gruppe 51 bezeichneten zweilen Chipkarten stehen auf der er- 
sten IGerarchiestufe, die in der Gruppe 52 bezeichneten weiteren Chipkarten stehen auf der zweiten Hierarchiestufe, die 
in der Gruppe 53 bezeichneten nachfolgenden Chipkarten stehen auf der dritten Hierarchiestufe, usw., wobei solche Kar- 55 
ten aus diesen Gruppen von Chipkarten auch als Folge-Karten bezeichnet werden, ftir welche stufenweise die Funktio- 
ncnanwendungsberechtigung in wShlbarer Weise limitiert und tabellarisch gespeichert ist Die erste Karte MC kSnnle 
dann die Master-Karte (Hierarchie 0) sein, mit ihr lassen sich alle Initialisierungen und Anderungen vornehmen. Bei- 
spielsweise cxisticrcn im ersten Ast wciterc 5 Karten mit den fortlaufcndcn Nummcm 002 bis 006 fur vicr der Kosten- 
stellen. Es wird die zweite Karte 51 fiir den Zugriff auf die Kosienstellen 1 bis 4 als Gruppenkarte GC 1-4 auiorisiert 60 
(riierarchie 1). Die weiteren Folge-Karten 52 sind jeweils nur fUr eine einzige Kostenslelle als Einzelkarte EC 1, EC 3, 
HC 4 auiorisiert (Hierarchie 2). Die zweite Karte 51 kann Anderungen in den Folge-Karten 52, d. h. in den Einzelkarten 
ECK EC 3, EC' 4 im Ralimen der eigenen Autorisierung gestaUen. Die vorgenommene Anderung der Kostenslelle, nam- 
lich KST-Nummer 1, 3 und 4 betriffteine Anderung in der Zuordnung von Anwendungsfunktionen. Eine solche kann mit 
der Gruppenkarte 51 GC 1-4, jedoch nicht fiir die erste Karte 50 MC vorgenommen werden. Mit der Gruppenkarte 51 65 
OC 1 4 kann auf eine der Kosienstellen, namlich KST-Nummem 1 bis 4, der verfrankicrte Portowert gebucht werden. 
Eine mittels der Gruppenkarte GC 1-4 initialisierte einzehie Funkiionskarte FC 2 geslattet deren Besitzer nur eine infor- 
niaiioncllc Abfragc der Buchungen unter der Kostcnstellen-Numnier 2 und nur Null-Wirt-Frankierungcn mil der Fran- 
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kiemiaschine vorzunehmen. 

Weiterhin ist cs in einem zwciten Ast voigesehen» unter Auslassung der Erzeugung einer Gruppenkarte nur eine Ein- 
^Ikarlc EC 5 und cine Funktiooskartc FC 5 zu erzeugen, welche beide der fiinflen Kostenstelle zugeordnet sind. Eine 
niittcls der Einzelkarte EC 5 initialisierte einzclne Funktionskarte FC 5 gestattet deren Besitzei; nur eine informationelle 
5 Abfrage der Buchungen unler der Kosienstellen-Nummer 5 und NuU-Wert-Frankierungen mit der Frankiermaschine vor- 
zunehmen. 

Auch kann in cinera Ast unter Auslassung weitcrer Hierarchiestufen nur eine einer untersten Hierarchiestufc zugcord- 
nete Folge-Karte FC 9 initialisiert werden. Die Karten der untersten Hierarchiestufe sind im Funktionenanwendungsum- 
fang am weitesten bcschrSnkt. 

10 Ebenso kann in einem drilten Ast oiine Auslassung von Hierarchiestufen stufenweise eine Anzahl von zu jeder Hier- 
archiestufe zugeordneten Folge-Karten initialisiert werden, d. h. eine (Jruppenkarte GC 6-8 als Folge-Karte 51 in der er- 
sien Hierarchiestufe, cine Einzelkarte EC 8 als Folge-Karte 52 in der zwciten Hierarchiestufe und eine Funktionskarte 
FC 8 als Folge-Karte 53 in der dritien Hierarchiestufe. Die Folgekarten in der ersten bis dritten Gruppe 51, 52, 53 (Hier- 
archiestufe) ktinnen in vorteilhafter Weise von einem anderen preisgUnsdgeren lyp, als die Masterchipkarte sein. Die 

15 Folgekarten sind vorzugsweise vom lyp a und die Masterchipkarte ist vorzugsweise vom lyp c. 

Iin gcsicherlen nichlflUchtigen Speicherberdch der Prozessor-Chipkarte ist auch cine Foigenuminer gcspeicherl, wel- 
che auf eine weitere Nachladechipkarte verweist, mit wclcherdie Nachladung fortgesetzt bzw. modifiziert werden kann. 
Diesc weitere Nachladechipkarte wird vom Hersteller mit Nachladedaten und mit einer weiteren Folgenummer beschrie- 
ben, welche eine nachfolgende weitere Nachladechipkarte verweist, die ggf. erst in der Zukunft vom Hersteller geliefert 

20 wird. Wahnend die Prozessor-Chipkarte von einem 'IVp c ist, kOnnen die weiteren Nachladechipkarten kfinnen vom glei- 
chen Typ oder von einem anderem lyp, vorzugsweise vom lyp b sein. 

Der Schutz der Karten vor Auslesen der fortlaufenden Nummer, der Folgenununer und weilerer gesicherter Daten ist 
in bekanntcr Weise durch PIN oder anderc Sicherheitsalgorithraen moglich. Bei \ferlusi der Master-Karte ist nur iiber 
eine Information des Frankiermaschinenherstcllers (und entsprechenden Nachweis der Authentizitfit) ein Ersatz maglich. 

25 Das Sperren bzw, die Freigabe aller anderen Karten ist durch die Master-Karte mOglich. Eine weitere Sicherheit bei der 
Initialisierung des Systems mil Hilfc der Master-Karte ist dadurch moglich, daB nur physisch vorhandenc Karten initia- 
iisierhar sind, dadurch wetden die geheimen fortlaufenden Nummem der Karten geschQtzt Bei einem Folgekarten-\fer- 
lust kann ein Sperren des entsprechenden Speicherbcreiches in der Frankiermaschine erfolgen. 
Die Fig, 2 zeigt ein Blockschaltbild zur Einstellung der Funkdon der Frankiermaschine und zur Ansteuerung der 

:*() Druckeinrichtung 20 mit einer Chipkarten-Schreib/Lese-Einheit 70 und mit einer Steuereinrichtung 1 der Frankierma- 
schine. Die Steuereinrichtung 1 bildct das eigendiche Meter und umfaBt ein erstes Steuergerat 90, eine Tastatur 88 und 
eine Anzeigeeinheit 89 sowie einen ersten und zweiten anwendungsspezifischen Schaltkreis ASIC 87 und 97. Das erste 
Stcucrgcral 90 enthalt einen ersten Mikroprozessor 91 und an sich bekannte Spcichcrmiltcl 92, 93, 94 sowie einen Uh- 
ren/Datumsschaldcrcis 95, Im nichtflUchtigen Speicher 94 sind Bereiche zur Speicherung der Abrechnungsdaten vorge- 

35 sehen, die den Kostenstelien zugeordnet sind, 

Der erste anwendungsspezifische Schaltkreis ASIC 87 bildet zusammcn mit einem zweiten Mikroprozessor 85 und ei- 
nem nichtfiUchdgen Speicher 84 ein poslalisches Sicherheitsmittel PSM 86. Das postalische Sicherheitsmittel PSM 86 
wird von einem gesichertcn Geh^use umschlossen und weist eine schnelle serielle Schnittstelle zur Druckersteuerung 16 
auf. Vor jedcin Frankierabdruck erfolgt eine hardwaremaBige Abrechnung im ersten anwendungsspezifischen Schalt- 

40 kreis ASIC 87. Die Abrechnung erfolgt unabhangig von Kostenstelien. Der zweiten Mikroprozessor 85 enthait einen 
nicht gezeigten - integrierten Festwertspeicher int.ROM mit dem speziellen Anwendungsprogramm, was fUr die Fran- 
kiermaschine von der Postbehdrde bzw. vom jcweiligen Postbefordcrcr zugelassen ist Das postalische Sicherheitsmittel 
PSM 86 kann so ausgefUhrt sein, wie in der europaischen Anmeldung EP 789 333 A3 naher beschrieben wurde. 

Beide vorgenannte ASIC's sind Qber den parallelen pC-Bus mindestens mit dem SteueigerSt 90 und der Anzeigeein- 

45 heii 89 verbunden. Der erste Mikroprozessor 91 weist vorzugsweise Anschlusse fiir die Tastatur 88 eine serielle Schnitt- 
stelle SI- 1 fUr den AnschluB der Chipkarten-Schreib/Lese-Einheit 70 und eine serielle Schnittstelle SI-2 fdr den optiona- 
len AnschluB eines MODEMs auf. Mittels desMODEMs kann das im nichtflUchtigen Speicher 84 des postalischen Si- 
cherheiisinitlels PSM 86 gespeicheric Guthaben erhoht werden. 

Es ist vorgcsehcn, dali der zweiie ASIC 97 cine serielle SchnittsicUenschaltung 98 zu einem im Postslrora vorschaltc- 

50 ten Cjerat 13, eine serielle Schnittstellenschaltung 96 zur Druckeinrichtung 20 und eine serielle Schnittstellenschaltung 
99 zu einem der Druckeinrichtung 20 im Poststrom nachgeschalteten Gerat 18 aufweist. Der nicht vorverdffcntlichten 
dcutschen Anmeldung 197 11 997.2 ist eine Ausfiihrungsvariantc fiir die Peripherieschnittstelle entnchmbar, welche fiir 
mehrere Peripheriegerate (Staiionen) geeignet ist. Sic tragt den Utel: Anordnung zur Kommunikation zwischen einer 
Basisstation und weiteren Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung. 

55 Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschinenbasis befmdiichen Schnittstellenschaltung 14 stelll 
mindestens eine Verbindung zu den Sensoren 6, 7, 17 und zu den Aktoren, beispie Is weise zum AnUiebsmotor 15, fUr die 
Walze 11 und zu einer Reinigungs- und Dichtsution RDS fUr den TintensUrahldruckkopf 4, sowie zum Tmtenstrahldruck- 
kopf 4 der Maschinenbasis her. Die prinzipiellc Anordnung und das Zusammenspiel zwischen TmtensU-ahldruckkopf 
und der RDS sind der nicht vorvcroffentlichten deuLschen Anmeldung 197 26 642,8 cnmehmbar, mit dem Titcl: Anord- 

60 nung zur Positionierung eines Tintenstrahldruckkopfes und einer Reinigungs- und Dichtvorrichtung. 

Einer der in der FUhrungsplatte 2 angeordneten Sensoren 7, 17 ist der Sensor 17 und dient zur Vorbereitung der Druck- 
auslosung bcim BrieftransporL Der Sensor 7 dient zur Briefanfangserkennung zwccks Druckauslosung beim Brieftrans- 
porL Die TVansporteinrichtung besteht aus einem TVansportband 10 und zwei Walzen 11, 11*. Eine der Walzen ist die nut 
einem Motor 15 ausgestattcte AnUiebswalze 11, eine andere ist die mitlaufende Spannwalze 11*. Vorzugsweise ist die 

65 Anlriebswalze 11 als Zahnwalze ausgefUhrt, entsprechend ist auch das Transportband 10 als /ahnriemen ausgefuhrt, was 
die cindeutige KraftUbcrtragung sicherl. Ein Encoder 5, 6 ist mit einer der Walzen 11, 11' gekoppelt. Vorzugsweise sitzt 
die Antriebswalze 11 mit einem Inkrementalgeber 5 fest auf einer Achsc. Der Inkrementalgeber 5 ist beispielsweise als 
Schlitzschcibc ausgefUhrt, die rail cincr Lichtschrankc 6 zusammcn wirkt. 
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Es ist vorgesehen, daB die einzelnen Druckelemente des Druckkopfes innerhalb seines Gehfiuses mil einer Druckkopf- 
elektronik verbunden sind und daB der Druckkopf fUr einen rein elektronischen Dnick ansteuerbar isL Die Drucksteue- 

rung erfolgt auf Qasis der ^^gsleuerung, wobel der gewaKtte ^tempelverBatz l>eruclcsicKtigt wird, welcKer per T^tatur 

88 Oder bei Bedarf per Chipkarte eingegebeo und im Speicher NVM 94 nicbtflUchtig gespcichert wird. Eia geplanter Ab- 
druck ergibl sich somit aus Stempelversatz (ohne Drucken), dem FrankienJruckbild und gegebencnfalls weiteren Druck- 5 
bildem fUr Werbeklischee, \%rsandinformatioaen (Wahldrucke) und zus&tzlichen editierbaren Mitteilungen. 

In der Fig, 3 ist cine pcrspektivischc Ansicht der Frankiermaschine von hintcn daigestellL Die Frankiennaschine ist 
mil einer Chipkarten-Schreib/Lesecinheit 70 ausgestattei, die hinter der FUhrungsplatte 2 angeordnet und von der GehSu- 
seoberkante 22 zugSnglich ist. Nach dem Einschalten der Frankiermaschine raittels dem Schalter 71 wird eine Chipkarte 
50 von oben nach unten in den Einsteckschlitz 72 eingesteckt und ist vom Benutzer fOr bestinunte Anwendungen pro- lo 
grammierbar. Das erfolgt im Rahmen der von den Herstellem voigegebenen Grenzen mit der BenutzerschnittstelLe 88, 

89 der Steuereinrichtung 1 des Meters. Die Folgekarten werden ftir vorbestimmte Funkdonsanwendungen filr die jewei- 
Lige Frankiermaschine vom Benutzer selbst eingerichtet. ZusStzlich kdnnen auch Chipkarten flir vorbestimmte Funkti- 
onsanwendungen fUr die jeweiligen Peripherieger&te der Frankiermaschine vom Benutzer selbst eingerichtet werden. 
Die Peripherieger^e der Frankiermaschine sind an den Schnittstellen 98 und 99 elektriscb ansdilieBbar und somit vom is 
Meter entsprechend der Hngabe per Chipkarte ansteuerbar. Bin zugefiihrter auf der Kante stehender Brief 3, der mit sei- 
ner zu bedruckenden Oberflache an der FUhrungsplatte anliegt, wird dann entsprechend der Eingabedaten mit einem 
Frankierstempel 31 bedruckt Die BriefzufUhrdfifnung wird durch eine Klarsichtplatte 21 und die FUhrungsplatte 2 seit- 
lich begrenzt Mit dem Einstecken einer ersten Chipkarte 50, die mit der Frankiermaschine zusammen ausgelieferl wor- 
den ist, wird eine vorbestimmte KostcnstcUe als GesamUcostcnstelle eingestellt. Bdspielswdsc wird <Ue KostenstcUe I 20 
voreingestellt, auf welche die Buchung erfolgt, wenn per T^statur keine anderen vorbestimmten Eingaben getfitigt wer- 
den, um den Zugriff auf andere Kostenstellen zu erlangen. 

Die Frankiermaschine enthalt in ihrem Programmspeicher 92 ein entsprechendes Anwendungsprogramm, so daB eine 
in die Chipkarten-Schreib/Leseeinheit70 eingesteckte erste Chipkarte 50 eine Knstellung der Frankiermaschine fUr min- 
destens eine Funklionsanwendung auf der hiJchsten Hierarchieebene gestattet 25 

In einer Anwendung ist vorgesehen, daS die Steuereinrichtung 1 ein mit einem Mikroprozessor 91 mit zugehorigcn 
S{>eichem 92, 93, 94, 95 ausgestattetes Steuetger&t 90 und eine angeschlossene Benutzerschnittstelle 88, 89 aufweist, die 
in Abhangigkeit einer vorbestimmten Eingabe eine top-down-Initialisierung von mindestens einer eingesteckten aus ei- 
ner Anzahl von weiteren Chipkarten 51, 52, 53 durch den Benutzer gestaUen, um in Verbindung mit geeignet initialisier- 
ten Chipkarten die Funktionseingabe und die Vferwaltung von zu buchenden Kostensteliendalen zu vereinfechen, wobei 30 
die vorgenanntcn weiteren Chipkarten 51, 52, 53 scquenliell in einen Einsteckschlitz 72 der Chipkarten-Schreib/Leseein- 
heii 70 eingesteckt und initialisiert werden, wobei unter Verwendung der "fctatur 88 und Anzeige 89 und mil Hilfe des 
Mikroprozcssors 91 und der zugchorigen nichtfluchtigen Speicher innerhalb der Frankiermaschine cine T^belle mit einer 
spcziellen hierarchischen Struktur erstellt wird, indem die vorgespeicherte Struktur entsprechend modifizierl und einer 
jeweiligen Chipkartennummer zugeordnet in einem der zugehiJrigen nichtflUchtigen Speicher 94, 95 gespeichen wird, 35 
wobei die Chipkartennummer in einem dafUr votgesehenen Teil eines in den geschUtzten Speicherbereichen der weiteren 
bzw. Foige-Chipkarten 51, 52. 53 gespeicherten Kennungsstrings gespeichert wird. Eine Folge-Chipkarte, die beim Da- 
tenaustausch nach einem bestimmten PtotokoU gelesen bzw. beschrieben werden kann wird nachfolgend mit Typ a bc- 
zcichnct, wobei natUrlich auch andere Typen eingesetzi werden konncn. 

Eine Prozessor-Chipkarte wird nachfolgend mit TVp c bezeichnet und arbeitei nach ISO 78 1 6, T 1 -Protokoil. Beispiels- 40 
weise ist der Arbeitsspeichcr ein 256 Byte-RAM, der Prozessor eine 8 Bit CPU, der nichtflUchtige Speicher ein 16 KByte 
EEPROM und der Nurlesespeichcr ein 16 KByte ROM. Vbrtcilhaft kann eine Prozessor-Chipkarte von der Firma Orga, 
als Masterkarte verwendet werden. 

Eine andere Nachlade-CTiipkarte mit viel Speicherplatz wird nachfolgend mil TVp b bezeichnet. Beispielsweise kann 
eine PCBus Speicherkarte mit 32 Kbyte nach ISO 78 1 6, insbesondere AM2C256 von der Firma AMMI, verwendet wer- 45 
den. Diese enlhfilt einen Chip AT24C256 von der Firma Almel. Weitere Chipkarten werden nachfolgend mil 'IVp n be- 
zeichnet. Beispielsweise kann auch hier wieder eine einen Mikroprozessor aufweisendc Chipkarte mit 8 Kbyte verwen- 
det werden. Die weiteren Chipkarten der TVpcn b bis n betreffen beispielsweise folgende Funklionsanwendungen: 

Nachlade-M6glichkeit der PortogebOhrentabellen Uber Chipkarte 49. 50 

- Klischee-Nachladen Uber Chipkarten (einzeUi oder im Block). 
" Stempclbilder-Nachladen uber Chipkarten ('l^gesstempcl). 

- Chipkarten mit zeitlimitierterFunktionen anwendung. 

- Chipkanen mit PIN-Aiitorisierung von Funktionen. 

- Chipkarten zur Einslellung der Peripheriegeraiefunktion. 55 

- C^hipkarten zur Einstellung der Syslemkonfigurierung. 
Chipkarten zur Aktivierung programmierter Druckbilder. 

In dcf Fig. 4a ist cin Ablaufplan fur cine Steuerung durch den Mikroprozessor der Frankiermaschine bci der Datcnein- 
gabe mittels einer Chipkarte dargestellt. 60 

Nach einem Einschalten eines - nicht daigestellten - Netzleiles der Frankiermaschine mit dem Schalter 71, was im 
Schritt 100 vom Mikroprozessor 91 der Frankiermaschine registricrl wird. signalisiert ein mit einer Kontakdereinrich- 
tung 74 der Chipkarten-Schreib/Lesceinheit70 vcrbundener Mikroprozessor 75 dem Mikroprozessor 91 der Frankierma- 
schine, wenn eine Chipkarte in den Einsteckschlitz 72 eingesteckt ist, was im Schritt 101 vom Mikroprozessor 91 der 
Frankiermaschine negistriert wird. Zwischen der Chipkarten-Schreib/Leseeinheit70 und der Chipkarte erfolgt dann eine 65 
Kommunikation nach einem ersten vorbestinunten ProiokoU und eine Auswertung im Schritt 102. Im Abfrageschritt 103 
wird gepriift, ob die Chipkarte als TVp c lesbar ist. Ist das der Fall, wird vom Abfrageschritt 103 auf einen Schritt 111 ver- 
zwcigi. um einen Teil I des Kennungsstrings in den nichtfluchtigen Speicher 94 der Frankiermaschine zu laden, wobei 
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durch den Mikroprozessor 91 der Frankiermaschine eine Auswertung der Firmen-Kennnummer (Rrmen-ID) voigenom- 
men wird. Wenn abcr die Chipkarte als Typ c nicht lesbar ist, wird vom Abfrageschritt 103 auf einen SchriU 104 ver- 
zweigt, um eine Komniunikation nach einem zweiten vorbesdmmten ProtokoU und eine Auswertung im Scbriu 104, ob 
die Chipkarte als lyp b lesbar ist vorzunebmen. Ist also die Chipkarte als lyp b lesbar, wird vom Abfrageschritt 105 zur 
5 weiteren Datenverarbeitung duicb den Mikroprozessor 91 der Frankiennaschine auf einea Schritt 106 verzweigt In ver- 
gleichbarer Weise werdeo gegebeneafalls weitere Protokolle durchlaufen (nicht gezeigte Schritte 107), zur Feststellung 
im Abfrageschritt 108, ob die Chipkarte als IVp n lesbar ist, um dann zur weiteren Datenverarbeitung durch den Mikro- 
prozessor 91 der Frankiennaschine auf einen entsprecheaden Schritt 109 zu verzM^eigen. Die Reihenfolge der Kommu- 
nikationsschritte und zugehdrigen Abfrageschritte ist beliebig und kann auch entsprechend der Haufigkeit gewahlt sein. 

10 Anderenfalls, wenn der lyp der Chipkarte nicht erkannt wird, erfolgt nach einer Fehlermeldung im Schritt 110 eine 
RUckverz^veigung auf den Schritt 101. 

Im Unterschied zum US 5,490.077, wo die Reihenfolge festliegt und cine Chipkarte A zum Portogebilhrentabellenla- 
den vor einer Oiipkarte B gesteckt werden soil, welche beispielsweise eine Koslenstelle einstellt, ist es nach der Erstin- 
itialisierung beliebig mit welcher Chipkarte das Einstecken begonnen wird. Die Reihenfolge fur das sequentielle Bin- 

1 s stecken einer Reihe von Chipkarten ist nur dann nicht beliebig, wenn der zu einer Funktion gehdrende Dateninhalt noch 
nicht vollstandig geladcn wurde. Das jeweils ftir unterscbiedlichc Chipkarten-iypen erforderliche ProtokoU kann gemaB 
Ablaufplan nach Fig. 4a durch Auswerten der von der Chipkarte gesendeten Antwortdaten ermittelt werden. Das ermog- 
licht in vorteilhafter Weise einen entsprechend der Anwendungsart optimalen Chipkarten-iyp einzusetzen, so daS ein 
teurer Chipkarten-TVp nur in den Fallen eingeseizl werden braucht. wo keine Alternative besteht. 

20 Es gibt beim US 5,490,077 keine Masterkarle, d. h. die Chipkarten sind alle technisch und funktionell gleich. Eine Zu- 
ordnung der 5-stelligen Kosteostellennummer KST-Nr. ist nur dem Hersteller mttglich. Im Unterschied dazu ist erfin- 
dungsgemslB durch den Benutzer eine fieie Zuordnung von drei Stellen der 5-stelligen KST-Nr. mdglich. 

Ein Zeitfenster ftir das Einstecken einer Chipkarte ist beim US 5,490,077 eine unveranderliche feste Zeitperiode. Fiir 
das erste Einstecken der Chipkarte ist erfindungsgem^ nun kein Zeitlimit voigegeben. In vorteilhafter Weise wird in ei- 

2S ner dem Kennungsstring der Chipkarten entsprechenden Anwendungsart ein Hmer-Wert in einen Bereich der nichtflUch- 
tigcn Speicher 94 oder 95 der Frankicrmaschine geladen, welcher einen Z^er ausbildet, der ein Zeitfenster fUr eine 
Nachfolgehandlung definiert, die beispielsweise mit einer Folge-Chipkarte ausgefUhrt wird. 

Wenn vom Abfrageschritt 103 auf einen Schritt 111 verzweigt wird, um einen Teil I des Kennungsstrings in den nicht- 
nUchdgen Speicher 94 der Frankiennaschine zu laden, wobei durch den Mikroprozessor 91 der Frankicrmaschine eine 

:«) Auswertung der FuTnen-Kennnummer (Firmen-ID) voigenommen wind, kommt ein Chipkarten-iyp c zum Einsatz, bei 
welchem aus einer gespeicherten Firmen-Kennzahl B eine Information fUr den weiteren Betrieb der Frankicrmaschine 
abgeleilel werden kann. Gegebenenfalls priifl der MikropKJzessor 91 die vorgenannte Furaen-Kennzahl B in bekannler 
Weise zusatzlich auf Voriicgcn einer gUltigen Firmen-ID. Anderenfalls wird im option alen Schritt 113 eine Fehlermel- 
dung abgegeben. Im Schritt 112 wird die Firmen-Kennzahl B in einem der nichtflUchtigen Speicherbereiche der Fran- 

35 kiermaschine gespeichert, um dann auf einen Schritt 114 zu verzweigen. 

fin Schritt 114 wird ein Teil 11 des Kennungsstrings in den nichtflUchtigen Speicher 94 der Frankicrmaschine geladcn, 
wobei durch den Mikroprozessor 91 der Frankicrmaschine eine Maskierung der Anfangs-Kennzahl A zur Ableitung ei- 
ner ersten Kennzahl Al erfolgt, mit welcher anschlie&end eine Rechenoperadon zur Bildung einer zweiten Kennzahl A2 
durchgefUhn wird, um nachfolgend zu prufen, ob der dem Kennungssuing entstammendc etsle Teil I und die Kennzahl 

40 A2 zueinander ein vorbestimmtes Verh^tnis haben. 2^ Bildung einer zweiten Kennzahl A2 erfolgt eine Rechenopera- 
lion der Form: 

A2=A1-SN-C (1) 

45 mil der Serien-Nummer SN der Frankiennaschine und mit einer geheimen Konstanten C. 

Vom Mikroprozessor 91 der Frankiermaschine ist unter Verwendung der Firmenkennzahl B nachfolgend zu prOten: 

Kennzahl B = A2 (2) 

50 In Auswertung der Gleichung (2) erfolgt bei mangelndem vorbestinunten Verhaitnis ein Sperren des Speicherberei- 
ches in der Frankiermaschine fUr vorbeslimmte Anwendungen im Schritt 116 oder anderenfalls, beispielsweise falls die 
Firmen-Kcnnnummer (Fumen-ID) gleich der gebildeten zweiten Kennzahl A2 ist, wird auf einen Schritt 117 verzweigt. 
Nun kann eine weitere Maskierung der Kennzahl voigenommen werden, um die Master-Karte zu identifizieren. 

Im Abfrageschritt 118 wird geprtifl, ob eine Master-Karte vorliegL Ist das der Fall wird auf einen Schritt 120 ver- 

55 /.weigL, um einen Timer- Wert in den nichtflUchdgen Speicher 94 der Frankiermaschine zu laden, wobei durch den Mi- 
kroprozessor 91 der Frankiermaschine im Schritt 121 die FunktionalitSt freigegeben wird, welche im Programmspeicher 
92 der Frankiermaschine fUr die Master-Karte vorgesehen ist. Diese Funkdonalit&t schlieBt eine Erzeugung einer speziel- 
len Funktionenanwendungs-Kane mitieb der Frankiennaschine ein, was in einer parallelen Anmeldung naher erlautert 
wird. Im Schritt 122 wird gepriift, ob die Karte noch immer gesteckt ist Ist das der Fall, ist die Funktionalitat weiter frei- 

60 gegeben. Anderenfalls wird im Schritt 423 ein Hmer gestartet, Der Timer ist beispielsweise ein mittels Speicherzellen im 
flUchdgen Speicher 93 oder in einem der nichtflUchtigen Speicher 94, 95 der Frankiermaschine realisierter RUckwarts- 
zahlcr, fiir wclchen der Oszillator im Uhren/Datums-Schaltkreis 95 einen entsprechenden Takt liefert. Im Schritt 124 
wird Uberprilft, ob das Timer-Ende erieicht isL Ist das nicht der Fall und eine weitere Chipkarte ist gesteckt, dann wird 
zum Schritt 101 (Punkt c) zurilckverzweigt. Diese Schleife zum Punkt c ermSgUcht, das Nachladcn nach dem Einstecken 

65 uiner weiteren Uiipkarte typunabhangig fortzuseizen. Bei 'Hmerende, zum Beispiel bei Erreichen des Zahlwertes Null 
wird ein Interrupt fiir den Wttkroprozessor 91 der Frankiennaschine ausgeltist. Im Folgeschritt 131 wird dann die weitere 
Benutzung der Frankiermaschine fUr mindestens die eine Funkdonalitat Frankieren gespent. 
Wird ini Abfrageschritt 118 festgestellt, daB keine Master-Karte vorliegt, wird auf einen Schritt 119 verzweigt, umden 
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Teil m des Kennungsstringes in den nichtflUchtigen Speicher 94 oder 95 der Frankiermaschine zu laden und um eine 
Auswertung hinsichtlich der dort abstammenden Chipkartetmummer vorzunehmen. Eine Anzahl von unterschiedlichen 
AnwendungsfUnktionalitaten ist in eineni Speicheriwreich des nichtflUchtigen Speichers 94 oder 95 der Frankierma- 
schine gelistct, wo jeder Anwendungsfunktionalitat dne entsprechende Chipkartennummer zugeoidnet ist. Ist in der Li- 
sle einer bestimmten Chipkartennummer keine Anwendung zugeordnet gespeichert, wird vom Abfrageschritt 125 auf 5 
den Folgeschritt 131 verzwdgt, imi die weitere Benutzung der Frankiermaschine fiir nundestens die eine Funkdonalit^t 
Frankicrcn zu sperren. Anderenfalls wird im Schritt 127 die gelistete Funktionalitat cntsprcchend der Chipkartennummer 
freigegeben und im Schritt 129 ein Timer gestartet, nachdem im SchriU 128 festgestelU wurdc, daB die Karte nicht mehr 
gesteckt ist. Der Timer erzwingt somit wieder. daB das Nachladen mit einer weiteren Karte fortgeseut werden muB. Ist 
aber die erste Karte weiterhin gesteckt, erfolgl eine RUckverzweigung und die Funktionalitat ist wdter freigegeben. Bei lo 
Timenende wird ein Interrupt ftlr den Mikroprozessor 91 der Frankiermasdiine ausgdQst und auf den Folgeschritt 131 
verzweigt Bei einer Folgechipkarte vom lyp a werden ebenfalls die vorgenannten Schritte 111-119 und 125-130 durch- 
laufen. 

ErfindungsgemUS wird der Kennungsstring in der Frankiermaschine ausgehend von der hochsten Sicherheitsstufe ab- 
w^ geprUft und erschlieBt die anwendungsspeztfisch erforderlichen Speicherfoereiche im nichtflUchtigen Speicher der is 
Frunkicmiaschinc. Eine erkaimtc LUckc im Kennungssudng erzeugt eine Fehlermeldung und hat eine Sperrung des bc- 
treffenden Speicherbereiches im nichtflUchtigen Speicher der Frankiermaschine und/oder der Chipkarte zur Folge. 

Der Kennungsstring hat eine schlUsselartige Funktion, Der Kennungsstring tst nichtflUchtig in der Chipkarte so ge- 
speichert, daB mehrere SicheAeitsbereiche einbezogen sind, wobei zur Veranderung des im jeweiligen Sicherheitsbe- 
reich gespeicherten Teils des Kennungsstrings unterschiedliche Sicherheilsanforderungen zu erfdilen sind, Nachdem 20 
durch die Hcrsteller der erste und zweite Teil des Kennungsstrings beschrieben wurde, kann ein Benutzer der Frankier- 
maschine mil selbiger den diitten Ttil des Kennungsstrings nuL einer Chipkartennummer beschreiben. Der \fikroprozes- 
sors 91 ist programmiert, eine in der Chipkarte gespeicherte Chipkartennummer zu vcrandcrn und eine Zuordnung der 
(Chipkartennummer zu gelisteten Anwendungsfiinklionen im nichtflUchtigen Speicher der Frankiermaschine abzuspei- 
chem. 25 

Es ist vorgescben, daB der Mikroprozessor 91 des Steucrgerales 90 programmiert ist, urn in Verbindung mit geeignet 
initialisierten Chipkarten die Funktionseingabe und die X^rwaltung von zu buchenden Kostenstellendaten zu vereinfa- 
chen, wobei die Funktionseingabe die top-down-Inidahsierung von weiteren Chipkarten einschlieBt. 

Die Chipkarten-Schreib/Leseeinheit 70 besleht aus einem zugehbrigen mechanischen Imager fiir die Mikroprozessor- 
karte und Kontaktiereinheit 74. Letztere gestattet eine sichere mechanische Halterung der Chipkarte in Lese-Position und 3o 
eindeutige Signalisierung des Erreicbens der Leseposidon der Cliipkarte in der Kontaktierungseinheit, beispielsweise 
nach dem Push/Push-Prinzip takdl durch Druckpunkl signalisiert, EJect-l^te oder Display/Beeper-Meldung der Fran- 
kiermaschine, eine zuvcrlassigc clektrische Kontaktierung von koniaktbehaftcten Chipkarten gemaB ISO 7816 fiir min- 
destens 100.000 Kontaktierungszyklen sowie eine leichte Benutzbarkeit beim Stecken und Ziehen der Chipkarte. Die 
Mikroprozessorkarte mit dem Mikroprozessor 75 besitzt eine einprograramierte Lesefahigkeit fUr alle Arten von Spei- 35 
chcrkartcn, sowic fUr Chipkarten mil und ohne PIN-Codicrung. Eine Ver- oder Entschliisselung fur Sicherhcitsalgorith- 
men (z. B. RSA, DES) ist miigUch. Das Interface zur Frankiermascliine ist eine serielle SchnittstellegemaB RS232-Stan- 
dard. Die Daten-Oberlragungsrate betragt min. 1,2 K Baud. Eine Selbsttestfunkdon mit Bereitschaftsmeldung ist aus- 
fuhrbar bzw. wird nach Einschaltcn der Stromversorgung mittcls Schaltcr 71 selbsllatig ausgefiihrt Die in den Einsteck- 
schlitz 72 eingesteckte Maslerkarte 50 erteilt mindestens eine 2Uigangsberechtigung zur Gesamt-Kostenslelie d. h. alle 40 
ausgegebenen Master-Chipkarten greifen nur auf diese Kostenstelle zu. Danach existiert die Wahlmdglichkeit einer an- 
dcren Kostenstelle iiber Tastatur, Unter andcrem sind Master-Chipkarten zur erfindungsgemaflcn Definidon der Chipkar- 
ten/Kostenstellen-Beziehung und zum Freigeben/Sperren von Karten voiTgesehen. Es kann zur Erweiterung des Funkd- 
onsumfanges eine ZugriffismL^glichkeit auf definierte Kostenslellen Uber die Folgekarten mittels der Frankiermaschine 
geschaffen werden, wobei eine Speicherung der Zuordnung ent^rcchcnd einer beliebigen Hierarchie mdglich ist. 45 

Der Oatenaustausch zwischen Chipkarte und Chipkarten-Schreib/Leseeinheit, welcher gemSB Schritt 102 beim Sen- 
den,laui Protokoll durchgefUhrt wird. erfolgl nach dem Master/Slave- Verfahren. wie das prinzipieil bereits in der US 
5,490,077 vorgeschlagen wurde. In der dortigen Losung werden DaLen aus dem ungesicherten Speicherbereich ausgcle- 
sen, in Form cines zehntcn Dalensatzes zur Frankiermaschine ubermittclt und in dcrcn vorbcsdmmtc Spcicherbcreichc 
geladen. 50 

Bei der erflndungsgemaB voi^geschlagenen Ldsung zum Datenaustausch werden im Schritt 121 bzw. 127 besonders 
gcsichcrtc Dalcn aus dem gesichcrten Speicherbereich der Chipkarte zusaalich ausgelesen, in Form mindestens cines 
weiteren zwolften Dalensatzes zur Frankiennaschine Ubermiuell und in deren Speicherbereiche geladen. 

Im Verfahren zum Datenaustausch zwischen einer Frankiermaschine und Chipkarten, wobei die Frankiermaschine mil 
einer Chipkarten-Schreib/Leseeinheit 70 fur Chipkarten unterschiedlichen Typs und mit einer Steuereinrichtung 1 zum 55 
Daten laden bzw. zur Dateneingabe per Chipkarte ausgeriistet ist, ist vorgesehen, daB gesleuert durch die Slcuereinrich- 
tung 1 der Datenaustausch mittels Datensaizen anhand des spezifischen Protokolls fUr jeden Chipkartentyp erfolgl, wo- 
bei niindeslens mittels eines zusatzlichen Dalensatzes Daten aus den speziell gesicherten nicht fluchdgen Speicherberci- 
chcn der Chipkarte in die nichlfliichtigcn Speicherbereiche der Steuereinrichtung 1 der Frankiermaschine geladen wer- 
den. Der zusalzliche Daiensatz schlieBt eine in speziell gesicherten nichtflUchtigen Speicherbereichen der Chipkarte ge- 60 
speicherte Basisnummer BN und Folgenummer FN ein, wobei diese in die Frankiermaschine geladene Basisnummer BN 
mil cinem dort gespeicherten crsten Code vcrglichcn wird, uni cine Zuordnung von in der Frankiermaschine gespeicher- 
ten Merkmalen/Daten zu einem zweiten Code zu Sndem, der nachfolgend eingegeben wird. Die vorgenannte in die Fran- 
kiermaschine geladene Folgenunmier FN hat eine vorbestimmie Beziehung zu einer nachfolgend in die Frankierma- 
schine geladene Basisnummer BN einer weiteren Nachladechipkarte 49. 65 

Es ist weiterhin vorgesehen, daB cine nachfolgend eingesteckte zweite Nachladechipkarte 49 eingegeben wird, aus 
welcher Daten entsprechend der in der Frankiermaschine gespeicherten Folgenummer FN geladen werden, wenn letztere 
cine vorbcsdmmtc Beziehung zur Basisnummer BN der nachfolgend in die Chipkarten-SchrcibA^secinhcit70 der Fran- 
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kiermaschine gesteckten Nachladechipkarte 49 hat. 

Gem^ Fig. 4b erfolgt ein Datenaustausch. zwischen der Chipkarten-Schreib/Leseeinheit der Frankiermaschine der 
Chipkarte^ wobei die Chipkazten-Schreib/Leseeinhcit der Frankiermaschine als Master fungiert und einen ersten Daten- 
satz Dl aussendct. Die Darstellung des erstcn Datensatzes Dl zeigt vicr Felder fUr ein Adressen-Byte, ein CTOI^Byte, 
5 ein Datenl^en-Byte und ein Check-Byte. Die Chipkarte arbeitet als Slave und sendet einen zweiten Datensatz D2 mit 
gleichen Aufbau an die Chipkarten-Schreib/Leseeinheit zuriick. Die Adressen- und das Check-Byte sind gegeniiber dem 
erstcn Datensatz Dl entsprecbend geandert. 

Das Adressen-Byte des ersten Datensatzes Dl und ailer weiteren Datensatze mit einer ungeraden Nummer kennzeich- 
net die Gerateadresse des SCP-Slavc. Das SCP (Standard Communication Protocol) ist an das ISO/OS I- Architekturmo- 

10 dell angelehnt. Die sieben Schichten des Modells sind im SCP in drei Schichten zusammengefaBt: Kommunikations-, 
Transport- und Leitimgsschicht. In der Leitungsschicht wird die Baudrate und der Rahmen fUr eine asynchrone Halbdu- 
plex-BlockUbertragung festgelegt. Die tibergeordnete TVansportschicht dient dem fehlerfireien und voUstfindigen TVans- 
port der Dalen zur jeweiligen Adresse. Die Koinmunikationsschicht enth^t allgemeine Steuerbefehle fUr die Kommuni- 
kationspartner. Der Dateoaustausch wird vorzugsweise anhand der IVansportschicht verdeutiicht. Das KontroU-Byte 

15 (CTOL-Byte) im zweiten Feld des daigestellten ersten und zweiten Datensatzes Dl, D2 Mt drei Befehlstypen zu und 
zcigt hler den RES YNC-Befehl £F. Lctztercr wird gescndct, wcnn ein neues Ptotokoll begonnen wird und dient dem Zu- 
riicksetzen der Empfangs- und SendefolgezShlen Das Datenlangen-Byte im dritten Feld zeigt in diesem Fall die Daten- 
lange Null an, da keine Daten gesendet werden. Das Check- Byte ist vorzugsweise das Btgebois einer XOR-Verkniipfung 
der vorgenannteo Bytes eines Datensatzes (Obertragungsblockes). Der dritte Datensatz D3 enlhalt das SELECT APPLI- 

20 CATTON-Kommando Fl im vierten Feld, Dieses Kommando setzt den SCP-Slave zurllck und selektiert ein Anwen- 
dungsprotokoU. Ein nachfolgendes Dalenfeld (fUnfte Feld) enthiilt die Nunmier der gewUhlten Application, hier 00 kenn- 
zeichnend filr ein T = 14 ProtokoU der Leitungsschicht. Die Aniwort 81 im vierten Feld des vierten Datensatzes D4 ist 
cin Rctum-Codc. Das Kommando 01 im vierten Feld des funftcn Datensatzes D5 signalisicrt, daB die Spannung cingc- 
schaltet ist, Der sechste Datensatzes D6 eothSlt eine entsprechende Antwort Im siebenten Datensatz D7 wird die Ken- 

25 nung des Karteoherstellers und im achten Datensatz D8 eine entsprechende Antwort Obermittelt Im neunten Datensatz 
D9 wird zum Vcranlasscn des Auslesens des Kennungsstrings das Kommando READ TOKEN und im zehntcn Datensatz 
DIO eine entsprechende Antwort mit dem Kennungsstring UbermittelL Die Eingabe der Kostenstellen-Nummer zur Ge- 
samt-KostensteUe duich die Chipkarte erfolgt beispielsweise durch Maskieren des Kennungsstrings bzw. durch eine spe- 
zielle Rechenoperation und bewirkt eine Zugangsberechtigung zur Frankiermaschine auf indirekte Weise. 

30 Zusgtzlich wird ein Benutzer bzw. die Frankiermaschine durch eine Spezialnummer oder Code bei der Chipkarte dazu 
autorisiert, besonders gesicheite Daten zusatzlich aus dem gesicherten Speicherbereich der Chipkarte auszulesen, Erfin- 
dungsgemaB enth^l ein elfter Datensatz DU eine Spezialnummer, vorzugsweise die Seriennumtner SN der Frankierma- 
schine, und ein sechstes Kommando COMPBN, Der Datensatz D 11 wird von der Frankiermaschine iiber die Chipkaricn/ 
Lcseeinheii zur Chipkarte 50 ilbermittelL Das sechste Kommando COMPBN weist die Chipkarte an, einen Vergleich der 

35 i n der Oiipkarte gespeicberten Seriennummer BN mit der im elften Datensatz D 1 1 Ubermittelten SN durchzufiihren. Die 
Chipkarte cnthall mindestens 1 Byte der Seriennummer BN der Frankiermaschine, die zum Bcnutzcrkrcis gehort Die 
(vhipkarte prtlft also, ob sie zum Benutzerkreis der Frankiermaschine gehdrt, indem sie Ibile der Seriennummer BN der 
Frankiermaschine mit den intern gespeicberten Tfeilen der Seriennummer BN der Frankiermaschine veigleicht. Das Ver- 
glcichsergebnis wird der Chipkarten/Lcseeinheil iibennittell, wclchc (in der 1 . Variantc) bei positivcn Vergleichsergebnis 

40 folgenden zwSlften Datensatz D12 empfangt: 

Byle/Schicht/Bemcrkung zum Inhalt 

I. (1. Layer) Byte mit der gespiegelten Adresse des Datensatzes Dll, 
45 2. (1. Layer) KonUx)Ilbyte, 

3. (1. T^yer) DatenlUngenbyte, 

4. (2. Layer) Kontrollbyte. 

5. (2. Layer) Adressenbyte, 

6. (2. Layer) Datenlangenbytc, 
50 7. (2. Layer) Kontrollbyte, 

8. (2. Layer) Kommandobyie, 

9. (2. Layer) Datenlangcnbytc fiir nSchstc Layer, 

10. (3. I^yer) Datenbyte mit einer einzigartigen Nummer BN, 

II. (3. Layer) Datenbyte mit einer einzigartigen Nununer FN, 

55 12. (3. Layer) Datenbyte mit einem verschlUsselten SitzungschlUssel Kl [KEYn+i], 

13. (3, l^yer) Datenbyte fUr Nachladedaten ND. 

14. (3. Layer) Datenbyte mit einem MAC zu BN, FN und ND, 

15. (3. Layer) Checkbyle, 

16. (2. I^ycr) Chcckbytc 

60 

Der von der Chipkarten/Leseeinheit empfangene zw^Jlfte Datensatz D12 enthalt bei positivem Vfergleichsergebnis eine 
cinzigartigc Basisnummer BN als ersten Code, um eine Zuordnung von in der Frankiermaschine gespeicberten Merkma- 
len/Daten zu einem zweiten Code zu findem, der nachfolgend eingcgeben wird, Letzterer kann beim Inidaiisieren einer 
Folgekarte manuell per TVslatur oder beim Funktionenaufruf durch eine nachfolgend cingcstecktc zweite Chipkarte 49 
65 eingegeben werden. 

Diese Basisnummer BN wird mit der aktuellen Masler-Chipkarte in die Frankiermaschine eingegeben. Bei negativem 
Vergleich, d. h. Vergleich der gespeicberten mit der Obermittelten Spezialnummer oder Code, wird eine andere cinzigar- 
tigc Basisnunmicr BN auf cincn vorbcstimmtcn Wert ubcrmittclt. Es kann damit aber kein Zugang zu cincm bcstimmten 
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Speicherbereich der Frankiemiaschine erziell und bestimmte Funktionen kOnnen nicht aufgerufen werden. weil die ent- 
sprechende Zuordnung in der FrankiermaschiDe ebeofalls nicht existiert Beispieisweise wird auf indirekte ^ise ein 
Abrechnen und Frankieren unmdgUcb getnacht, ohne die anderen Funkdonen der Frankiermaschine zu speiren. 

AuBerdcm kann in der Frankiermaschine die Richtigkeit der Reihenfolge geprilft werden, indem die aus der vorheri- 
gen Chipkarte geladene Fblgenummer FNn in eine Folgenummer FNih-i umgewandelt und nicbtflUchdg gespeichert wird. s 
Sic kann dann mit einer aktuell gcLadenen Fblgenummer FNq+i veiglichen werden. Fails die im zwOlften Datensatz D12 
iibermittelte Folgenununer FN^ft einer ebensolchen in der Frankiennaschine gespeicherten Folgenummer FNg^-i cnt- 
spricht, dann ist die Chipkarte eine in der richdgen Reihenfolge gesteckte Foigekarte. Altemadv zeigt ein Zeiger auf eine 
der gelisteten Folgenummem entsprechend der geladenen Folgenummer. AnschlieBend wird die Zeigcrstelluog verMn- 
dert und der 2^iger zeigt auf die n^hste Folgenummei; welcbe entsprechend der Reihenfolge bdm nSchsten Nachladen lO 
erwartet wird. Der Zeiger wird als Vor/RUckwMrts-Z&hler und das Ver^dem wird als Vor/RUckwSrts-Z&hlen ausgebildet 
und in den Speicherzellen des nichtfltlchdgen Speichers der Frankiermaschine lealisi^. 

Hrfindungsgem^ sind die iibermitteUea Daten BN> FN und ND durch einen Message Authendficadon Code (MAC) 
gesichert. Kach dem Datenaustausch zwischen dem OTP-Prozessor im Sicherheitsmodul der Frankiermaschine und der 
Chipkarten/Leseeinheiu veraibeilet der OTP-Prozessor (One Time Programable) der Frankiermaschine den Datensatz 15 
D12. indent cr die ubcrmittelten Daten BN, FN iniUels einem geheimen SchlUssel zu einem Reference-MAC verschlus- 
selL. Ein erster aktueller geheimen SchlUssel Kl wild verschlUsselt zu Kb[Kl] und anfangs bei der Inidalisierung im 
NVRAM der Frankiennaschine abgelegt. Letzterer kann im OTP-Prozessor mit einem im intemen OTP-ROM gespei- 
cherten DES-Algorithmus (Data Enciydon Standard) und geheimen BasisscblUssel Kb entscblUsselt werden. Der erste 
akt uelle geheime SchlQssel Kl wird zum VerschlUsseln der voigegebenen Basisnummer BN und Folgenummer FN zum 20 
Reference-MAC benutzt, wobei der N^rgang ausschlieBlich OTP-intern abl^ und somit nicht ausgelesen werden kann. 
Die Authendfizierung der tibermittelten Daten BN, FN, ND in der Frankiermaschine erfolgt durch \%rgleich des Uber- 
niittcltcn MAC mit dem Rcfereace-MAC. Der Vcrglcich erfolgt dabei vorzugsweise vor der voxgenannten separatcn 
Auswertung der Ubermittelten Daten BN, FN. 

Unter den Ubermittelten Daten ist auch ein verscbltisselter Si tzungsschlUssel Kl [KEYtn-i ]. Auch in der Cliipkarte sind 2S 
also kcinc solchen (ieheimdatcn, wie der geheime BasisscblUssel Kb, gespeichert, sondern statt dessen ein verschlussel- 
ter SitzungschlUssel Kl pCEYiH-i]< Wenn die Authendfikadon erfolgreich war, wird letzterer im NVRAM der Frankier- 
maschine ebenfalls verschlUsselt als Krypto-SchlUssel gespeichert Dabei wird zun^chst der verschlUsselte Sitzung- 
schlUssel Kl [K£Yq4.i] entschlUsselt zum SitzungschlUssel KEYq^i, wobei der erste aktuelle geheime SchlUssel Kl auf 
den DES-Algorithmus angewendet wird. Dann wird der unverschlUsselte SchlUssel KEYq+i im OTP-Prozessor ver- :m 
schlusselt zum Kb[KEYn+i], wobei der geheime BasisscblUssel Kb auf den DES-Algorithmus angewendet wird, und bil- 
dei so die Grundlage zur Verwertung als nachslen aktuellen geheimen SitzungschlUssel, durch Entschlusseln des iiii 
NVRAM gespeicherten Krypto-SchlUssels Kb(KEYn^.i]. Der vorgcnannte SitzungschlUssel KEYq+i kann vielfaltig cin- 
gesetzt werden. Beispieisweise ist letzterer erforderlich, um Diensdeistungsmerkmale oder Daten, die extra bezahit wer- 
den mUssen, mit weiteren Qiipkarten aufzustocken bzw. zu emeuem oder zuzuordnen. 35 

Die erste gesteckte Chipkarte wird auch als Master-Oiipkartc 50 bczcichneL Nach deren Autorisierung werden bei- 
spieisweise auch Diensdeistungsmerkmale &eigegeben. Dabei kann es n6dg sein, eine Kombinadon aus bereits gespei- 
cherten und einem zu ladenden Diensdeistungsmerkmal zu bilden. FUr das zu ladende Dienstleistungsmerkmal sind nun 
iiianucUe Eingaben zu t^Ugen oder zuvor eine wcitcre Chipkarte 49 mit dem zu ladenden Diensdeistungsmerkmal in den 
S Lot einzustecken, nachdem die Master-Chipkarte 50 entfemt wurde. 40 

I^erzu wird eine weitere Chipkarte 49 eingesteckt, die nut einer entsprechenden UuSeren Kennzeichnung fur den Be- 
nutzer versehen ist. Es werden wieder Datensalze ausgctauscht und nach dem Empfang des zwoLftcn Datcnsatzes D12 
und der o.g. Autorisierung und Auswertung der Ubermittelten Daten wird ein dreizehnter Datensatz D13 von der Fran- 
kiennaschine mit der Chipkarten/Leseeinheit an die Chipkarte Ubermittelt, wobei der Datensatz D13 die Folgenummer 
FNm-i einschlieBt, die mit der Vcnganger Chipkarte 50 eingegeben worden ist. Immer dann, wenn die in einer weiteren 4S 
Chipkarte 49 gespeicherte Basisnunmicr BNo+i ein besdmmies Verhaitnis zur Folgenummer FN^-i hat, die mit einer 
Vorganger-Chipkarte (die die Basisnummer BNn hatte) in die Frankiermaschine eingegeben wurde, dann ist die richdge 
Reihenfolge des Einsteckens und cine gUltige weitere Chipkarte verwendet worden. Auf diese Weise wird also auch der 
Foigekarte raitgeteilt, welche Basisnummer erwartet wird, Nach einer Prozedur (Mastei/Slave-\ferfahren), wobei ein 
Kommando CTiECK FN (im Datensatz D 1 3) von der Chipkarten/Leseeinheit an die Chipkarte gegeben wird, antwonet 50 
die Chipkarte mit einem vierzehnten Datensatz D14, welcher weitere gewUnschle Daten aus gesicherten Speicherberei- 
chcn der Chipkarte cndialt. 

Anderenfalls, wenn die von der Frankiermaschine an die Chipkarte gesendele Folgenummer FNd+i kein bestimmtes 
Verhalmis zur Basisnummer BNn+i der eingesteckten Chipkarte hat, wird in Auswertung des vierzehnten Datensatzes 
D14 in der Anzeige der Frankiermaschine ¥bA ein Hinweis angezeigt, daU diejenige Chipkarte entsprechend der Folge- 55 
nummer FN^+i einzustecken ist. 

In einer weiteren AusfUhrungsvariante wird nun gezeigt, wie sich weitere Merkmale, beispieisweise Stuckzahl- oder 
Time Linui mit weiteren Chipkarten, die extra bezahll werden inUssen, aufzustocken bzw. emeuem lassen. Dazu ist wie- 
der die Folgenummer FN erforderlich. Nach einem ersten Ausrausch einer Anzahl an Datensatzen und einem anschlic- 
Benden SN-Vergleich in der (Jhipkarte. wird das Vergleichsergebnis der Chipkarten/Leseeinheit Ubermittelt, welche bei 60 
positiven Vergleichsergebnis nun folgenden zw6Iften Datensatz D12 empf^gt: 

Byle/Schicht/Bemerkung zum Inhalt 

L (1 , T^yer) Byte mit der gespiegelten Adresse dea elften Datensatz Dl 1 , 65 

2. (l Layer)Kontrollbyle, 

3. (1. Layer) Daieniangenbyte, 

4. (2. Layer) Kontrollbyte, 
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5. (2. 1-ayer) Adressenbyte. 

6. (2. Layer) DatenlUngenbyte. 

7. (2. Layer) KontroUbyte. 

8. (2. Layer) Kommandobyte, 

5 9. (2. Layer) Daicniangenbyle nSchste Layer, 

10. (3. Layer) Datenbyte bei positiven Veigleichsergebnis (P). 

11. (3. Layer) Datenbyte mit einer einzigartigen Nummer BN, 

12. (3. Layer) Datenbyte mit einer einzigartigen Nununer FN, 

13. (3. Layer) Datenbyte mit einem verschlUsselten SitzungschlUssel K1[KEYq^i], 
1 0 14. (3. Layer) Datenbyte mit VoigabestUckzahl VGS fur Frankierungen, 

15. (3. Layer) Datenbyte mit einer Zeitgrenze TL fUr Features der FM, 

16. (3. Layer) Datenbyte fUr Nachladedaten ND, 

17. (3. Layer) Datenbyte fUr Nachladedaten ND 

18. (3. Layer) Datenbyte fUr Nachladedaten ND, 

15 19. (3. Layer) Datenbyte mit einem MAC zu (P), FN, VGS, TL und ND, 

20. (3. Layer) Checkbyte. 

21. (2. Uyer) Checkbyte 

Das vicrzehntc und fiinfzehnte Byte sind fUr zusiitzliche Aufgaben voigesehen, aber nicht zwingend erfonderlich. Wei- 

20 tere Byies, beispielsweise das sechzehnte bis achtzehnte Byte, sind fiir Nachladedaten ND voigesehen. Die Autorisie- 
rung der Nummem BN, FN, Voigabedaten VGS, TL bzw. Nachladedaten ND erfolgt in der Frankiermaschine wieder an- 
hand des zugehdrigen MAC. Das zehnle Byte fUr P oder N ist also fakultativ uzsd muB nicht zwingend Ubermittclt wer- 
dcn. Bci ncgativen Vergleichsetgebois (N) wird im zw51ften Datcnsatz D12 einc ungiiltige Basisnummer BN, Folgcnum- 
mer FN oder Vorgaben von der GnJ8e Null Obermittelt 

25 Der von der Chipkarten/Leseeinheit empfangene zwdlfte Datensatz D 12 enthalt bei positivem \^rgleichsergebnis eine 
cinzigartigc Basisnummer BN als ersten Code, um eine Zuordnung von in der Frankiermaschine gespeichcrten Merkma- 
Icn/Darjcn zu einem zweiten Code zu Mndem, der manuell oder durch eine nachfolgend eingesteckte zweite Chipkarte 49 
cingegeben wird. Zusatzlich ist die vorgenannte Zuordnung fUr eine durch VorgabestUckzahl VGS fiir Frankierungen li- 
miliert und inuB dann emeuert weiden, wenn das Limit crreicht isi (SlUckzahl-Sleeping-Modus fUr Chipkarte). \brzugs- 

:io wcise ist in der Frankiermaschine eine separate Limiiierung der Stilckzahl fiir Frankierungen fUr jede Kostenstelle KST 
voigesehen. Das schafft eine zusStzliche Sicherheii, wenn abteilungsweise abgerechnel werden soil, daB nicht eine Ab- 
icilung (KST) am limit alle anderen Abteilungen (KSTn) am Frankieren hindert. Somit konnen andere Kostenstellen 
KST wcitcrhin frankieren oder die nicht zum Frankieren gehorigen Dienstldstungsmerkmale nutzcn. ErfindungsgemaB 
ist zu jeder Postklasse PK (Portowert) eine Stiickzahlgrenze vorgegeben. Die VorgabestUckzahl VGSPKl ist beispiels- 

35 weise fQr Frankierungen einer Postklasse PK 1 ftir Portowerte 1 ,-DM vorgesehen . Durch rechtzeitiges Einstecken von ei- 
ner wcitcren zugcschickten Chipkarte, kann die Stiickzahlgrenzc neu fiir cine KST und/oder einc einzclne Postklasse PK 
(Portowert) eingegeben werden (ohne Abrechnung, weil die C'hipkarte bei FP vorausbezahlt wird). 

ErfindungsgemaB ist zu jeder Funktion. die mittels der einzigartigen Nummer BN erreicht wird, eine Zeitgrenze (Time 
Limit) TL fur alle Features der FM voigcgeben. 

40 Erlindungsgem^ sind mindestens einige oder alle Vorgaben BN, FN, VGS und TL sowie Nachladedaten ND durch ei- 
nen MAC (Message Authentification Code) gesichert Der OTP-Prozessor (One Time Programable) der Frankierma- 
schine vcrarbeitet z. B. den Datensatz D12 nach Datcnaustausch zwischen dem OTP-Prozessor (im Sichcrheitsmodul) 
der FM und der Chipkarten/Leseeinheit, indem er alle Vorgaben BN, FN, VGS und TL sowie Nachladedaten ND mitlels 
einem geheimen SchlUssel zu einem Reference-MAC verschlUsselt. Dabei kann das Prinzip der kumulativen MAC-Bil- 

45 dung (with DES-Algohthmus and Cipher Block Chaining Mode) verwendet weiden, um eine beliebig groBe Anzahl an 
so abgesicherten Bytes zu authentisieren. Dabei werden 8 Byle breite Eingangswerte mit dem DES (Data Encrytion 
Standard) verschlUsselt und die 8 Byte breiten Ausgangswerte rait 8 Byte breitcn zweiten Eingangswerten XOR-ver- 
knupft und dann wieder mit dem DES verschlusselt usw. 

Im (yrP-ROM ist wieder ein gehcimcr SchlUssel und der DES-Algorithmus gespeichert, um den Rcfcrcnce-MAC in 

50 o.g. Art und Weise zu bilden. Um die Authentizitfit alter Vorgaben BN, FN, VGS und TL sowie Nachladedaten ND zu 
uberprUfen, werden der OTP-intern gebildete Reference-MAC und der zura OTP Ubennittelte MAC verglichen. Bei 
Obcreinstimmung werden die Vorgaben BN, FN, VGS und 'I'L sowie Nachladedaten ND nichtfluchtig zusammcn mit 
dem MAC im NVRAM gespeichert 

Der OTP-Prozessor der Frankiermaschine uberpriift vor jeder Frankierung die t)berschreitung des durch VGS gesetz- 

55 ten Stuckzahl-Limils entspruchend der eingesielllen Kostenstelle KST Die Erfindung schlieBi den Gedanken mil ein, das 
Stiickzahl-Limit mil weiteren Chipkarren, die extra bezahit werden miissen, aufzustocken bzw. zu emeuem. 

Der OTP-Prozessor UberprUft vor jeder Benutzung eines Features die tJberschreitung des durch TL gesetzten Time Li- 
III lis enlsprcchend der eingestellten Kostenstelle KST. Die Erfmdung schlieSt den Gedanken mit ein, den T^me Limit fur 
cin/clnc Features mit weiteren Chipkartcn, die cxU-a bezahit werden miissen, aufzustocken bzw. zu cmcucrn. 

60 AnschlieBend werden beispielsweise die Features fireigegeben. Dabei karm es notig sein, eine Kombinaiion aus bereits 
gespcichertcn und einem zu ladenden Features zu bilden. FUr das zu ladende Features sind nun manuelle Eingaben zu ta- 
tigcn oder zuvor cine weitere Chipkarte 49 mit den zu ladenden Dicnstlcistungsmerkmalen in den Slot cinzustcckcn, 
nachdem die Master-Chipkarte 50 entfemt wurde. 

Nach einer Prozedur (Master/Slave- Verfahren), wobei ein Koinmando CHECK FN (im Datensatz Dl 3) von der FM an 

65 die Chipkarten/I..eseeinheit gegcben wird, antwortet die Chipkarten/Leseeinheit mit einem vierzehnten Datensatz D14, 
welcher u. a. die gewUnschten Daten (Dienstleistungsmerkmal und/oder Code) aus der Chipkarte enthSlt. 

Um das Stuckzahl- oder Hme Limit mit weiteren Chipkarten, die extra bezahit werden mUssen, aufzustocken bzw. zu 
crncucrn ist die Folgcnunmier FN crfordcrlich. Immcr dann, wenn die in der Chipkarte gcspcichertc Basisnummer BN 
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mil der Folgenummer FN ein vorbestimmtes Verhfiltnis hat, die mit einer >fei;gfinger-Chipkartc in die Prankiermaschine 
eingegeben wurde, dann ist entspiechend VGS bzw. TL aufzustocken (addieieo) bzw. auf den Wert von VGS bzw. TL zu 
emeucm (voUtankeo). Die Chipkarte sendet dann eincn cntsprecheoden vierzchntcc Datcosatz an die Prankiermaschine. 

Jcde Prankiermaschine mit Chipkartenleser wird mindestcns mit einer Masterkarte vom lyp c ausgeliefert. Die zweitc 
und weitere ausgeliefcrte Karten sind sogenannte Folgekarten vom lyp a. Sie sind fUr alle FunktionenanwenduDgen Zu- S 
gang/KostensteUenhandling geeignet Jede Chipkarte hat eine laufende Chipkarten-Nummei; die eine eindeudge Ken- 
nung fUr jede Chipkarte ist, d. h. die Chipkarten sind im persooalisierten Zustand noch nicht bestimmten Frankiennascbi- 
nen zugeordnet Die neu in Betrieb zu nebmende Prankiermaschine wird seibstt&tig die erste gesteckte Chipkatte als Ma- 
sterkarte werten und dne entsprechende Chipkartennummer in ihien Speichem hinterlegen. Die Zuordnung der Punktio- 
nalitat jeder exisderenden bzw. nachgelieferten Karte geschieht frankiennaschinen-intem Uber eine Tbbelle. Die Punk- lO 
tionalitSt der Masterkarte ist wie folgt definiert: 

a) Als Voreinslellung wird die Kostenstellen KST 1 angewahll, dieser Voreinstell-Wert ist anderbar. 

b) Es ist manuell mdglich, Kostenstellen KST einzurichten, zu IQschen und anzuw^len. 

c) Hs ist m&glich. Folgekarten bestimmten Kostenstellen KST zuzuordnen, Zuordnung»i zu andem oder zu 1&- is 
schcn. 

d) Alle verfQgbaren Verkniipfungsbedingungen sind definierbar. Das betriffl auch die Zuordnung von Limit-Daten 
zu Folgekarten, bzw. die Tabelle ist enlsprechend mit Eingabe-Daten auszufilllen. 

e) Zugriff auf die voUe Funktionalitat der Frankiennaschine. 

20 

Die Funktionalitat der Polgekarte ist wie folgt definiert: 

a) Automatisches AnwShlen einer fcstgelegtcn KostcnstcUc KST odcr KST-Gruppe mit deren Vcrknupfungsbedin- 
gungen (Werbeklischee-Nr, evd. mit Wertbegrenzung je Zeiteinheit, Limit-Daten, etc.) 

b) KST*-fWert(eklischee-Zuordnungen setzen, andem oder Ifischen. Freie Wahl aller in der PM vorhandenen Kli- 25 

schees. 

c) Funktion "Folgekarten-Duplizieren", 

Die Sicherhcil in punkto Karten- Kopierscbulz wird durch hersteller- und anwenderspezifische Informationen in einetn 
schreibgeschiitzten Beneich der Karte gewahrlcistet. Die Chipkarten sind hcrstellerseitig mit einer FP-spezifischen Kenn- jo 
zahl B im schreibgeschiitzten Tcil I des Kennungsstrings versehen. Zusatzlich wird seitens der Prankiermaschine bei 
Ersl-Autorisierung die Kennzahl A schreibgeschutzt gespeichert, die sich aus der Seriennuramer der Prankiermaschine 
und cincr angehangtcn bcispielsweisc 3-stelligen fortlaufenden Zahl 505010 001 zusanmiensetzt. Unterschieden wird 
zwischen Masterkarte und Folgekarten, jedoch besteht der Unterschied nur darin, daB die Masterkarte die Erste von der 
Prankiermaschine autorisierte Karte ist. ansonsten ist die Struktur des Karteninhalts identisch. 35 

Die Prankiermaschine JetMail^ ist in der Lage, selbsttadg Chipkarten zur Benutzung an ihr zu autorisieren. Dieses ge- 
schieht aus einem dafUr vorgesehenen Kostenstellen-MenU-Unterpunkt heraus, indem nach dem Stecken der Masterkarte 
und An wahl der Autorisierungsfunktion eine beliebige Polgekarte einer vorhandenen oder neu definierten Kostenstelle 
odcr Gruppc zugeordnet wird. Dazu wird die entsprechende Polgekarte gesleckt und seitens der Prankiermaschine mil ei- 
ner Kennzahl A beschrieben. Bei Benutzung der Ciipkarte werden beide Kennzahlen (A und B) aus der Chipkarte in die 40 
Prankiermaschine geladen und dort nach einer Rechenoperadon miteinander veEglichen. Beispielsweise bei Gleichheit 
crfolgt die Auswertung der ausgeblendeten letzten 3 Stellen der Kennzahl A Uber eine Ikbelle u. a. bezuglich, welcher 
Kostenstellennummer diese Karte zugeordnet isL Der erste Eintrag in der T^ellc erfolgt fur die Masterkarte. Die Pran- 
kiermaschine ist ohne eine eingesteckte, die vorgenannte Autorisierungsfunktion aufweisende, Masterkarte gesperrt 

In der Prankiermaschine liegt fur den ersten Ast gemSB Fig, lb beispielsweise folgendc T^elle gespeichert von 45 



Karten-Nr. 


KST 

-Nr. 


Timer 
-Wert 


Funktion 


Werbe- 
Klischee 


Wertgrenze 


aktueUer 
Rest-Wert 


Limit 


1234567801 


1-50 


20 sec 


all/5000 


nein 


R3.X = 5000,- 


Rl.x= 99,- 


1234567802 


1-4 


10 sec 


Fl/2000 


1 


R3.y =2000,- 


Rl.y= 255,- 


1234567803 


1 


2 sec 


F3/2000 


1 


R3.1 =1000,- 


Rl.l= 99,- 


1234567804 


3 


2 sec 


F4/2000 


nein 


R3.3 = 1000,- 


R1.3= 10,- 


1234567805 


4 


2 sec 


F5/3500 


5 


R3.4 =3000,- 


R1.4 = 2005,- 


1234567806 


2 


1 sec 


F6/0000 


ndn 


R3.2 = 0,- 


R1.2= 0,- 



Der Benutzer hat die Mdglichkeit, sich die Chipkarte vom TVP ^ "lil aktuellen Kostenstellennummer zu beschrif- 60 
ten. Anderungen von Zuordnungen zwischen Chipkarten und Kostenstellennummem sind nur uber die Masterkarte mGg- 
lich. Damit sind bcstimmtc Meniipunktc im Kostenstcllenmenu nur mit gcstecktcr Masterkarte freigegeben. Weiterhin 
sind auch bestimmle Verkniipfungsbedingungen fiir die Kostenstellen beispielsweise bezuglich Werbeklischee-Nr., 
Wertbegrenzung je Zeiteinheit analog anderbar. Auf Ungleichheit bzw. unbekannte. ungOltige Karten wird seitens der 
iTankierniaschinc mit einer entsprcchenden Fehlermeldung rcagiert. Durch die Funktion "Folgekarten-Duplizieren'* ist 65 
die Prankiermaschine Jet Mail* weiterhin in der Lage, mit Hilfe der Masterkarte selbstt^tig Folgekarten zur Benutzung 
an ihr zu autorisieren. Dazu wird die entsprechende Polgekarte gesteckt und seitens der Prankiermaschine mit der Kenn- 
zahl A bcscliricbcn. Fiir jcdc KostcnstcUc KST kann cine zcitlich bcgrcnzt gUlligc jedoch (monatlich) crncucrbarc Wcrt- 
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grcnze fUr den Verbrauch an Frankierwerten je Kalendermonat mil Hilfe der Masterkarte feslgelegl werden. Fiir jede Ko- 
stenstelle KST ist maximal das gesamte in der Frankiennaschine Jet Mail* vorhandene Guthaben verfU^bar. Mit Beginn 
eines neuen Kalendeniionats wild die vorbestimmte Werlgrenze Qbemommen» es gibt keine ObertrSge. Andeningen von 
Zuordnungen zwischen Chipkartcn-Nr. und KST-Nr, Funktionen mit Limit-Daten sowie-den Wertbegrenzungen sind 

6 nur mit Hilfe der Masterkarte mdglich. 

Die Bedienoberfl^he der Frankiermaschine ist jederzeit komplett vorhanden, jedoch wird bei Anwahl der fiir die Ma- 
sterkarte reservierten Punkte, bei nicht gesteckter Masteiicarte, diesclbc als Autorisierung verlangt Die anzeigbare Tk- 
belle zur Verwaltung der Chipkarten-FunktionalitSt kann z, B. die Felder: Chipkarten-Nr7KST-Nr,/nmer-Wert/Funktion 
mit limit/Werbeklischee-Zuordnung/ Wertgrccze/aktueller Rest-Wert enttialten. FUr sogenannte Gruppenkarten ist es 

10 grundsatzlich moglich, daB auch einer Karten-Numn^r Gruppen von Kostenstellen x, y zugeordnet werden. Das mit der 
Chipkarteo-Schreib/Leseeinheit 70 verbundene Steueigei^t 90 der Frankiermaschine hat einen nichtflUchtigen Speicher 
94, 95 mit crfindungsgemaBen Speicherbereichen A, B, C filr eine Zuordnung von gelisteten Anwendungsfunktionen mit 
Limit-Daten zu einer vorbesdmmten Chipkarte und fiir Parameter. Die Anzeige der Zuordnung kann entsprechend der 
vorgenannien TUbelle oder in einer Shnlichen Form erfolgen. 

1 5 ErfindungsgemUB ist fUr eiae Anordnung zum Datenaustausch zwischen einer Frankiennaschine und Cbipkarten, wo- 
bd die Frankiermaschine mit einer Oiipkartcn-Schreib/LeseeinheitTO und zugehfirigen Steuerdnrichtung 1 ausgeslaUet 
ist, vorgesehen, dafi ein MiknopFozessor 85, 91 der Steuereinrichtung 1 mit der Chipkarten-Schreib/Leseeinheit 70 und 
rnit einem nichtflOchtigcn Speicher mit Speicherberdchen A, B fOr eine Zuordnung von gelisteten Anwendungsfunktio- 
nen mit Liinit'Daten zu einer vorbestinmiten Chipkarte und mil einem Speicherbereich C fUr Parameter verbunden ist. 

20 Der Mikroprozessor 85, 91 ist programmiert, einerseits um Daten nachxuladen, wobei fiir gUltige Chipkarten 50, 49 eine 
durch eine Folgenunmaer bestimmte Reihenfolge fUr das Einstecken der Oiipkarte 49 in die Chipkarten-Schreib/Lese- 
einheit verlangt wird, und andererseits zur Dateneingabe, welche dem autorisierten Benutzer gestatlet, fOr das Einstecken 
wciterer gceignet initialisierter Chipkarten 51. 52, 53 niedrigen Ranges eine bcstimmten Reihenfolge fcstzulegen, um die 
Funktions- und Dateneingabe in die Frankiermaschine zu vereinfachen. 

25 In einer AusfUhrungsvariante ist der Mikroprozessor 91 des SteuergerStes programmiert, 

a) die in der jeweiligen Chipkarte 50, 51, 52, 53 gespeicherte Chipkartennummer zu laden, 

b) die in der ersten Chipkarte 50 gespeicherten Limit-Daten zugeh6rig zu einer Funkdon zu laden, wobei die Limit- 
Daten zu einer Funktion gehtiren, welche von einer weitercn Chipkarte aufgerufen werden kann, 

30 c) die Zuordnung von Linut-Daten zugehftrig zu einer Funkdon in den votgenannten Speicherbereichen A, B zu- 

geordnet zu weiteren Chipkartennununer zu speichem, wobei in den voj^genannten Speicherbereichen A, B die Zu- 
ordnung beliebig wahlbar voui autorisierten Benutzer zur Chipkartennummer speicherbar ist, fiir den nachfolgen- 
dcn, Aufruf durch weitere Chipkarten mittcls ihrcr Nunimer, 

d) eine Zuordnung der gelisteten Anwendungsfunktionen mit Limit-Daten zur jeweiligen Chipkartennummer in ei- 
35 nem der Speicheibereiche A, B des nichtflUchtigen Speichers 94, 95 der Frankiermaschine au^urufen und die ent- 
sprechcnden im Programmspeicher 92 gespeicherten Anwcndungsprogramme durchzufiihren, 

Es ist weiterhin voi^gesehen, daB der Mikroprozessor 91 des Steueigerates 90 programmiert ist, die in der ersten Chip- 
karte 50 gespeicherten Limit-Daten in eincn Spcicherbereiche C des nichtfluchligen Speichers 94, 95 der Frankierma- 

40 schine als Parameter zu laden. 

Die Fig, 5a zeigt eine Aufteilung der Struktur auf Spcicherbereiche A, B und C, wobei im ersten Speicherbereich A ein 
Verzeichnis gUltiger Kartennummem, im zweiten Speicherbereich B Verknlipfungsbcdingungcn und im drittcn Speicher- 
bereich C zugehorige Parametersatze nichtfluchtig gespeichert vorliegen. Die voigenannte Struktur kann in jedem der 
vorgenannten Spcicherbereiche A und B separat modifiziert werden. Beispielsweise wird der Auflistung im Verzeichnis 

45 der gultigen Kartennununem CC-Nr. eine weitere Kartennummer neu hinzugefiigt Jeder Kartennummer ist ein AdreB- 
Pointer AP zugeordnet, welcher auf eine Adresse im zweiten Speicherbereich B zeigt, unter welcher die kartennummer- 
abh^gigen VerknUpfungsbedlngungen zusammen mit zugehOrigen Bedingungspointem BP und Wertpointem WP ge- 
speichert sind. Die Wertpoinler WP zeigen auf eine Adresse fiir den zugehorigen Parainetersatz im dritten Speicherbe- 
reich C. Obcr die Bedingungspointer BP, welche auf eine Adresse fiir eincn weiteren Bedingungspointer mit dem zugc- 

50 horigen Wertpointer zeigen, wird eine VerknUpfung frei wahlbar. Der Wertpointer WP zeigt dann auf eine Adresse mit 
dem zugeh6rigen Parametersatz im dritten Speicherbereich C. 

Die aufgcteilte modifizierbarc Struktur ist iiber die Pointer wieder herstellbar. wobei in Speicherbereichen E, F des 
Hauptarbeitsspeichers RAM 93 eine Zwischenspeicherung der geladenen Pointer erfolgt, wobei eine enLsprechende Da- 
teneingabe in einen Speicherbereich D des Hauptarbeitsspeichers RAM 93 zur Speicherung eines Datensatzes vorge- 

55 nonimen wird. wobei der Mikroprozessor 91 der Frankiermaschine eine entsprechende Funkdon bzw. eine gespeicherte 
Reihenfolge von Funktionen entsprechend dem Anwendungsprogramm und der so eingegebenen Parameter ausfuhrt. 
Eine der Funkdonen kann zur Initialisierung von Folge-Karten ausgefUhrt werden, um diese modifizieren zu kdnnen oder 
u in die Stniktur in einer Tabelle mindestens leilweise anzu zeigen. 

lis wird nach Fig. 4a vorausgesctzt, daB cin Tcil 111 des Kcnnungsstrings, ausgewertct wird und dann im Schritt 125 

60 fcstgestellt wird, daB die Funktionenanwendung gelistet ist, indem die Kartennummer im Speicherbereich A aufgefun- 
den wird. Nun wird ein '^me^Wcrt in einen weiteren - in Fig. 5a nicht dargestellten - Speicherbereich U eines nicht- 
hilchtigcn Speichers, vorzugsweise des Uhrcn/Datumsbausteins 95 geladen. Dann wird der Schritt 127 erreicht. 

In der Fig. 5b ist ein Detail des Ablaufplans nach Fig. 4 dargestellt, um die Steuerung durch den Mikroprozessor 91 
bcim Aufruf mindestens einer der Funktionen entsprechend der gespeicherten Struktur durch Eingabe einer Chipkarten- 

65 nurnmer zu verdeutlichen. Bevor fiir eine Folgekarte die Hunktionalitat frcigegeben wird, werden in einem Subschrilt 
127-01 derjenige AdreBpointer AP in einen Speicherbereich E des Hauptarbeitsspeichers RAM 93 geladen, welcher im 
Speicherbereich A der Chipkartennummer zugeordnet ist. AuBerdem werden im Subschritt 127-01 Bedingungspointer 
HP Schriti fiir Schritt bei jedem Durchlaufcn einer Schlcifc S in einen Speicherbereich F des Hauptarbeitsspeichers RAM 



14 



DE 197 57 649 A 1 

93 geladen. Diese vorgenanntcn Speicherbereiche E und F des Hauptarbeitsspcichers RAM 93 dienen zur Zwischenspei- 
chening der Daten der Pointer AP und BP flir die nachfolgende Datenverarbeitung. Nach dem Laden und Zwischenspei- 
chem der Dalen der Pointer AP und BP wird ein im zweiten Speicherbcreich B gespeichcrtei A^fcrtpointer WP aufgefim- 
dcn, welcher dem Bedingungspointer BP zugeordnet ist. Zugleich wird den Daten des Bedingungspointers BP ein M:r- 
weis auf einen nachfolgenden Bedingungspointer BP entnommen, auf welchen der Mikroprozessor 91 zugreifen soli, urn s 
weitcre zugehfirige Wertpointcr WP aufeufinden. Die weitere Datenverarbdtung im Subschritt 127-02 ist vorzugsweise 
verschachtelt, d. h. zeitoptimal organisiert So kann ein sogenanntes "pipelinedng" durchgefUhrt werden, wenn die Wert- 
pointer WP auf die Parameters&tze im dritten Speicherbereich C zeigen und entsprechende ParametersStze aus dem drit- 
ten Speicherbereidi C zur Speicherung im RAM*Bereich D des Hauptarbeitsspeichers RAM 93 geladen weiden. Im 
nachfolgenden Subschritl 127-03 wird dabei geprilf I, ob bei der voxgenannten Abarbeitung der Routine ein letzter Bedin- 10 
gungspointer BP abgearbeitet wcffden ist. Ist das nicbt der Fall, dann wird zura Subschritt 127-01 zurUckverzweigt, um 
sequentiell die Schleife S weiter solange abzuarbeiten, bis im Subschritt 127-03 das Abarbeiten eines letzten Bedin- 
gungspointers BP festgestellt worden ist Im nachfolgenden Subschritt 127-04 weiden die Anwendungen der gesteckten 
Karte freigegeben, entsprechend des w&hrend der Abarbeitung der o.g. Schleife S individuell zusammengestellten Da- 
tensatzes im Speicherbereich D. Der Mikroprozessor 91 greift dabei auf im Programmspeicher 92 gespeicberte Funktio- i s 
ncnanwendungen zurtick und auf die Parameter, wclche im o.g. zwischcngespeicherten Datensatz vorliegen, Zugleich 
kann ein dem individuellen Datensatz entsprechendes individuelles Menti in der Anzeigeeinheit 89 dargestellt werden. 

Es ist vorgesehen, daB eine im Programmspeicher 92 gespeicberte Funkdonenanwendung eine l^tatureingabe vor- 
siehl, damit der Mikroprozessor 91 das Anwendungspiograxmn zu Hnde abarbeiten kann. 

Hs ist vorgesehen, dafi der Mikroprozessor 91 programmiert ist, auf drei Speicherbereiche A, B, C des nichtflUchtigen 20 
Speichers 94, 95 des Steuo^erdtes 90 zuzugreifen, um eine Zuordnung der gelisteten Anwendungsfunkdoaen zur jewei- 
ligen Chipkartennummer im nichtflUchdgen Speicher 94, 95 der Frankiermaschine aufzurufen und die entsprechenden 
Anwcndungsprogramme durchzufUhren. Die Zuordnung rcprSsentiert eine vorbestiimnte Struktur; wobei die auf die drei 
Speicherbereiche Ap B, C des nicbtfiacbtigen Speichers 94, 95 aufgeteilte modifizierbare Suiiktur mittels Pointer wieder 
hersteilbar ist. Die Zuordnung der gelisteten Anwradungsfunktionen zur jeweiligen Chipkarteanummer in einem der 2S 
Speicherbereiche A, B des nichtflijchtigen Speichers 94, 95 der Frankiermaschine, welche vom Mikroprozessor 91 auf- 
gerufen wird, um die entsprechenden im Programmspeicher 92 gespeicherten Anwendungsprogranune durchzufUhren, 
ist mit einer eingesteckten Masterkarte beliebig Underfoar, weil in den voigenannten Speicherbereichen A, B die Zuord- 
nung beiiebig wiihlbar vom autorisierten Benutzer nach mindestens einer entsprechenden Eingabe, beispielsweise per 
Tastatur 88, speicherbar ist. 30 

Es ist weiterhin vorgeseben, dafi die im nichtflUchtigen Speicher 94, 95 der Frankiermaschine nichtfltichdg gespeichert 
vorliegende Struktur, eine durch die Reihenfolge der Auflistung der Chipkartennummem und durch die Zuordnung von 
gcli.sietcn Anwendungsfunktionen gegebene hierarchischc Suiiktur ist. 

Der Mikroprozessors 91 des Steuergerates 90 ist programmiert, die Chipkartennummer, die in einem dafUr voigesehe- 
nen Teil eines in den geschUtzten Speicherbereichen der Chipkarten 50, 51, 52, 53 gespeicherten Kennungsstrings ge- 35 
speichcrt vorliegt, zu laden, eine Funktionscingabe nach dem Sleeken der Chipkarte entsprechend durchzufuhren, um die 
Verwaltung von zu buchenden Kostenstellendaten durch Zugriff auf die zugeh3rige Funktionenanwendung zu vereinfa- 
chen. 

Die am Bcispiel des SchriUes 127 eriaulerlc Programmierbarkeit der Anwendungen, die einer Chipkartennummer zu- 
geordnet sind, gilt fiir erste Chipkarten (Masterkaiten) im Schritt 121 ebenso wie flir zweite und weitere Folgekarten. FUr 40 
Masterkarten 50 kann bei Abarbeitung eines entsprechenden Schriues 121-04 auf ein Schirmbild fUr einen MenUpunkt: 
Erzcugung einer Anwcndungskartc (nicht dargestellter Schritt 121-1) veizweigt werden. 

Eine Gruppenkarte GC ist eine solche zweite Karte, welche jeweils hoher autorisiert ist, als eine weitere Chipkarte EC 
Oder Folgekarte FC (Fig, lb). Diese letzteren Kartcn EC undFC bilden Gruppenmitglieder auf unterschiedlichen Hier- 
archieebenen 52 und 53. Die Befugnis-Sichening innerbalb einer Gruppen-Anwendung, d. h. Anwendungen in einer 45 
Hierarchieebene 52 oder 53, kann vorteilhaft auch sehr unterschiedlichen Ansprtichen an die individuelle Sicherheit der 
Gruppenmitglieder angepafit werden. Das wird dadurcb eneicht, daB fUr jede eindeudg durch den hierarchisch struktu- 
rienen Kennungsstring vom Mkroprozessor idendfizierbare Chipkarte EC oder FC ein Limit-Konto in der Frankierma- 
schine gefUhrt wird. Die hierarchisch nahestc h&hcr stchende Gruppcnkartc GC ladt davor beim Initialisieren der hierar- 
chisch tiefer stehenden Chipkarte EC oder FC das Limit-Konto in geschUtzte Speicherbereiche des nichtfliichtigen Spei- 50 
chers 94, 95. Das Limit-Konto ist beispielsweise ein Zeilkonto, welches die folgenden KenngrOBen beinhaltet: 

- mehrmalige Benutzung innerhalb eines Zeitbereiches 71 , 

- maximal eriaubler Nutzungsabstand betragt Zeitdauer 72, 

- maximale Nutzungsdauer/session beU'agt Zeitdauer Z3, ss 

- maximale Lebensdauer/lifetime betragt Zeitdauer Z4, 
die AnwendungsverlSngerungszeit beurUgt Zeitdauer Z5 

Durch derartige Parameter (Zeilkontendaten) konncn fUr jeden Chipkartentyp Befugnisse und Limitierungen bis bin 
zu einem Verfallsdatum erteilt werden, an welchem die Anwendung gespent wird. Diejenige Chipkarte, die Befugnisse 60 
und Limitierungen erteilt hat, kann allein die Erteilung sperren oder emeuem. ErfindungsgemSB kann durch die eine Be- 
fugnis/IJmiticrung erteilcnde rangh6herc Chipkarte (Gruppenkarte) die Befugnis fiir rangniedrigcre Chipkarten EC oder 
FC' individuell emeuert bzw. verUingert werden. 

Es ist vorgesehen, daB der Mikroprozessor 91 der Frankiermaschine Uber den Mikroprozessor 75 der Chipkarten- 
Schreib/Jjeseeinheit 70 einen Datensatz an die erste Chipkarte 50 sendet, um das Laden der zu einer Funktion zugeh5ri- 65 
gen Limit- Daten zu veranlassen, sowie daB mindestens die erste Chipkarte 50 eine Prozessor-Chipkarte ist, mit einem 
Nurlesespeicher ROM fiir einen allgemeinen Speicherbereich, mit einem nichtflUchtigen Schreib/Lcse-Speicher EE- 
PROM, wclchcr einen ungcschiitzien CCl und geschUtzten Speicherbereich CC2 aufweist, mit einer speziellcn Sichcr- 
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heits- und Schutzlogik. Es wird erst eine PIN-Priifung durchfuhrt. bevor auf sicherheitsrelevante Dalen im geschUtzten 
Speicherbereich CC2 zugegnfien wird, wobei im geschUtzten Speicherbereich CC2 der ersten Chipkarte 50 zusammen 
rnil dein einem Ttil der Chipkarteanumiiier sicherheitsrelevante Daten gespeichert sind, welche zeitliche, stQckzahl- 
oder wcrtgr6Bcnma6igc Grenzdalen darstellen oder Funktionen beinhalten, welche eine Umitierung einer Operation bc- 
wirken und wobei die in der ersten Chipkarte 50 gespeicherten Lirait-Daten zugehorig zu einer Funktion gespeichert 
sind. 

Die Erfindung ist nicht auf die vorlicgcndcn AusfUhrungsform beschrankt da oSensichtUch weiterc andere Anordnun- 
gen bzw. AusfUhrungen der Erfindung entwickelt bzw. eingesetzt werden k^innen. die - vom gleichen Grundgedanken 
der Erfindung ausgehend - von den anliegenden Ansprtichen umfaBt werden. 

PatentansprUche 

1. Verfahren zuin Datenauslausch zwischcn einer Frankiermaschine und Chipkarten, wobei die Frankicnnaschinc 
mil einer Chipkarten-Schreib/Leseeinheit (70) fUr (Chipkarten unterschiedlichen Typs und mil einer Steuereinrich- 
tung (1) zum Datenladen bzw. zur Dateneingabe per Chipkarte ausgerllstet ist, wobei unter Steuerung durch die 
Stcucruinrichtung (1) der Datenauslausch miilcls Datensaizen anhand des spczifischen Prolokolls fiir jeden Qiip- 
kartentyp erfolgt, wobei mindestens mittels eines zusatzlichen Datensatzes Daten aus den speziell gesicherten nicht- 
flUchtigen Speicherbereichen der Chipkarte in die nichtflUchtigen Speicherbereiche der Steuereinrichtung (1) der 
Frankiermaschine geladen werden, wobei der zusatzliche Datensatz eine in speziell gesicherten nichtHuchtigen 
Speicherbereichen der Chipkarte gespeicherte Basisnummer (BN) und Folgenummer (FN) einschlieBl, wobei diese 
in die Frankiermaschine geladene Basisnummer (BN) mit einem dort gespeicherten ersten Code veiglichen wird, 
urn eine Zuordnung von in der Frankiennaschine gespeicherten Merkmalen/Da(en zu einem zweiten Code zu an- 
dcrn, der nachfolgend eingcgcben wird, wobei die voigenannte in die Frankiennaschine geladene Folgenummer 
(FN) eine vorbestimmte Beziehung zu einer nachfolgend in die Frankiermaschine geladenen Basisnummer (BN) ei- 
ner weiteren Nachladechipkarte (49) hat. 

2. Verfahren, nach Anspruch I, dadurch gekennzeichnet, daB eine nachfolgend eingesteckte zweite Nachladechip- 
karte (49) eingegeben wird, aus welcher Daten entsprechend der in der Frankiermaschine gespeicherten Folgenum- 
mer (FN) geladen werden, wenn letztere cine vorbestimmte Beziehung zur Basisnummer (BN) der nachfolgend in 
die Chipkarlen-Schreib/Lesceinhcit (70) der Frankiennaschine gesteckten Nachladechipkarte (49) hat. 

3. Anordnung zum Daienaustausch zwischen einer Frankiermaschine und Chipkarten, wobei die Frankiermaschine 
mit einer Chipkarten-Schreib/Leseeinheit (70) und zugehorigen Steuereinrichtung (1) ausgestattet ist. gekennzeich- 
net dadurch, 

- daB cin Mikroproy^ssor (85, 91) der Steuereinrichtung (1) mit der Chipkartcn-Schrcib/Lcseeinheit (70) und 
mil einem nichtflUchtigen Speicher mit Speicherbereichen (A, B) fiir eine Zuordnung von gelisteten Anwen- 
dungsfunktionen mit Limit-Daten zu einer vorbestimmten Chipkarte und mit einem Speicherbereich (C) fiir 
Parameter vcrbundcn ist, wobei der Mikroprozcssor (85, 91) programmiert ist, einerseits um Daten nachzu la- 
den, wobei rur gUltige Chipkarten (50, 49) eine durch eine Folgenummer bestimmte Reihenfolge fur das Ein- 
stecken der Chipkarte (49) in die Chipkarten-Schreib/Leseeinheit verlangt wird. und andererseits zur Daten- 
eingabe, welche dem autorisierten Benuizer gestattet, fiir das Einstecken weiterer geeignet initialisierter Chip- 
karten (51, 52. 53) niedrigen Ranges eine bestimmten Reihenfolge festzulegen. um die Funktions- und Daten- 
eingabe in die Frankiermaschine zu vereinfachen. 

4. Anordnung, nach Anspruch 3, gekennzeichnet dadurch. daB die im nichtfliichtigen Speicher (94. 95) der Fran- 
kiermaschine nichtftuchtig gespeichert vorliegende Struktur, eine durch die Reihenfolge der Auflistung der Chip- 
kartennummem und durch die Zuordnung von gelisteten Anwendungsfunktionen mit Limit-Daten gegebene hierar- 
chische SUruktur ist. 

5. Anordnung. nach einem der voi^enannten Anspriiche 3 und 4. gekennzeichnet dadurch, daB der Mikroprozcssor 
(85. 91) programmiert ist, eine VerSnderung in der vorgenannten Struktur derart vorzunehmen, daB durch die eine 
Befugnis/Liinitierung erteilende ranghohere Cliipkarle, die Befugnis fdr rangniedrigere Chipkarten individuell er- 
ncucri bzw. vcrlangcrt wird. 
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